Pohjois-Korean kyberrikolliset ovat tehneet strategisen suunnanmuutoksen sosiaalisen manipuloinnin kampanjoissaan. He ovat varastaneet yli 300 miljoonaa dollaria esiintymällä luotettuina alan henkilöinä tekaistuissa videokokouksissa.
MetaMaskin tietoturvatutkija Taylor Monahan (tunnetaan nimellä Tayvano) varoittaa yksityiskohtaisesti monimutkaisesta “pitkäksi venytetystä huijauksesta”, joka kohdistuu kryptovaluutta-alan johtajiin.
Miten Pohjois-Korean valekokoukset vievät varoja krypto-lompakoista
Monahanin mukaan tämä kampanja erottuu viimeaikaisista hyökkäyksistä, jotka perustuivat AI deepfakeihin.
Tässä käytetään sen sijaan suoraviivaisempaa lähestymistapaa, joka perustuu kaapattuihin Telegram-tileihin ja todellisista haastatteluista leikattujen videoiden toistamiseen.
Hyökkäys käynnistyy yleensä, kun hakkerit saavat haltuunsa luotetun Telegram-tilin, joka usein kuuluu pääomasijoittajalle tai henkilölle, johon uhri on aiemmin tutustunut konferenssissa.
Pahantahtoiset hyökkääjät käyttävät aiempaa keskusteluhistoriaa näyttääkseen uskottavilta ja ohjaavat uhrin Zoom- tai Microsoft Teams -videopuheluun naamioidun Calendly-linkin kautta.
Kokouksen alettua uhri näkee näennäisesti suorana lähetyksenä oman tuttavansa videokuvan, vaikka todellisuudessa kyseessä on usein uudelleentoistettu nauhoitus podcastista tai julkisesta esiintymisestä.
Ratkaiseva hetki seuraa usein keinotekoisesti aiheutettua teknistä ongelmaa.
Kun hyökkääjä vetoaa ääni- tai videon ongelmiin, hän painostaa uhria palauttamaan yhteyden lataamalla tietyn skriptin tai päivittämällä ohjelmistokehityspaketin (SDK). Tällöin toimitettu tiedosto sisältää haitallisen ohjelmakoodin.
Ohjelmiston asennuksen jälkeen haittaohjelma – usein Remote Access Trojan (RAT) – antaa hyökkääjälle täydet oikeudet tietokoneen hallintaan.
Haittaohjelma tyhjentää kryptovaluuttalompakot ja varastaa arkaluonteisia tietoja, mukaan lukien sisäisiä tietoturvaprotokollia ja Telegram-istuntotunnuksia, joita käytetään seuraavan uhrin kohdistamiseksi verkostossa.
Tämän perusteella Monahan varoitti, että tämä erityinen hyökkäystapa valjastaa ammatillisen kohteliaisuuden aseeksi.
Hakkerit hyödyntävät “liikeneuvottelun” aiheuttamaa psykologista painetta, joka johtaa harkintakyvyn pettämiseen ja muuttaa tavallisen tukipyynnön vakavaksi tietoturvaloukkaukseksi.
Alan toimijoille kaikki puhelun aikana esitetyt ohjelmiston latauspyynnöt tulee nyt tulkita aktiivisiksi hyökkäyksen merkeiksi.
Tämä “feikki kokous” -taktiikka on osa laajempaa hyökkäyskokonaisuutta, jonka taustalla ovat Democratic People’s Republic of Korea (DPRK) -toimijat. He ovat varastaneet arviolta 2 miljardia dollaria toimialalta viimeisen vuoden aikana, mukaan lukien Bybit-tapauksen.
