L'azienda di sicurezza informatica Security Alliance (SEAL) ha dichiarato di star monitorando quotidianamente i numerosi tentativi da parte di autori di minacce legate alla Corea del Nord di utilizzare le cosiddette riunioni "false Zoom" o "false Teams" per distribuire malware ed espandere l'accesso a nuove vittime.
L'organizzazione no-profit ha condiviso nuovamente un avvertimento dettagliato del ricercatore di sicurezza Taylor Monahan, che descrive come si svolgono gli attacchi e l'entità delle perdite coinvolte.
False chiamate Zoom, perdite reali
Monahan ha affermato che la campagna inizia con un messaggio da un account Telegram compromesso appartenente a qualcuno che la vittima conosce già. Spesso questi account hanno una cronologia delle conversazioni precedenti intatta, il che riduce i sospetti e porta a un invito a ricontattarsi tramite una videochiamata programmata tramite un link condiviso.
Durante la chiamata, alle vittime vengono mostrati quelli che sembrano essere partecipanti legittimi, utilizzando registrazioni reali provenienti da account precedentemente hackerati o materiale pubblico anziché deepfake, prima che gli aggressori indichino problemi tecnici e diano istruzioni alle vittime di applicare un aggiornamento o una correzione.
Il file o il comando fornito, solitamente camuffato da aggiornamento del kit di sviluppo software (SDK) di Zoom, installa un malware che compromette silenziosamente il dispositivo su sistemi Mac, Windows e Linux. Ciò consente agli aggressori di esfiltrare wallet di criptovalute, password, chiavi private, seed phrase, credenziali cloud e token di sessione di Telegram.
Ha affermato che sono già stati rubati più di 300 milioni di dollari utilizzando questo metodo e che gli aggressori spesso ritardano i contatti successivi per evitare di essere scoperti dopo l'infezione iniziale. Il SEAL ha affermato che l'ingegneria sociale è fondamentale per la campagna, aggiungendo che le vittime vengono ripetutamente rassicurate quando esprimono preoccupazione e sono incoraggiate a procedere rapidamente per evitare di far perdere tempo al contatto apparente.
Monahan ha avvertito che, una volta compromesso un dispositivo, gli aggressori prendono il controllo dell'account Telegram della vittima e lo usano per inviare messaggi ai contatti e ripetere la truffa. Questo crea un effetto a cascata sui social network e sui profili professionali.
La ricercatrice ha esortato chiunque abbia cliccato su un link sospetto a disconnettersi immediatamente da Internet, spegnere il dispositivo interessato ed evitare di utilizzarlo, proteggere i fondi utilizzando un altro dispositivo, cambiare password e credenziali e cancellare completamente il computer compromesso prima di riutilizzarlo. Ha inoltre sottolineato la necessità di proteggere Telegram terminando tutte le altre sessioni da un telefono, aggiornando le password e abilitando l'autenticazione a più fattori per impedire un'ulteriore diffusione.
Tattiche in stile Lazzaro
Nell'ultimo anno, diverse piattaforme hanno segnalato campagne di phishing che utilizzavano falsi link a riunioni Zoom per rubare milioni di dollari in criptovalute. Il fondatore di Binance, Changpeng "CZ" Zhao, ha lanciato l'allarme sull'aumento delle truffe deepfake basate sull'intelligenza artificiale dopo che l'influencer crypto Mai Fujimoto è stata hackerata durante una finta chiamata Zoom. Gli aggressori hanno utilizzato un'imitazione deepfake e un link dannoso per installare un malware, che ha compromesso i suoi account Telegram, MetaMask e X.
Anche Gracy Chen, CEO di Bitget, ha lanciato l'allarme per una crescente ondata di attacchi di phishing che utilizzano falsi inviti a riunioni su Zoom e Microsoft Teams per colpire i professionisti del settore delle criptovalute. La scorsa settimana, Chen ha affermato che gli aggressori si spacciano per organizzatori di riunioni legittimi, contattando spesso le vittime tramite Telegram o falsi link di Calendly.
Durante la chiamata, lamentano problemi audio o di connessione e invitano le vittime a scaricare un presunto aggiornamento di rete o un SDK, che in realtà è un malware progettato per rubare password e chiavi private. Chen ha affermato che la tattica rispecchia i metodi utilizzati dal gruppo Lazarus e ha spiegato che i truffatori si sono spacciati per rappresentanti di Bitget.
Il post SEAL mette in guardia contro i falsi attacchi quotidiani su Zoom mentre gli hacker della RPDC trasformano in armi volti noti è apparso per la prima volta su CryptoPotato .