Nordkoreanischer Fake-Zoom-Betrug verbreitet sich schnell, während SEAL täglich Versuche meldet

SEAL Security Alliance gab an, dass sie nun mehrere tägliche Versuche im Zusammenhang mit dem nordkoreanischen Fake-Zoom-Betrug verfolgt.

Der Fake-Zoom-Krypto-Hack verwendet eine Meeting-Einladung, die normal aussieht. Dann wechselt es zu einem Dateidownload, der Malware installiert.

Sicherheitsforscherin Taylor Monahan sagte, dass diese Methode bereits mehr als 300 Millionen Dollar gestohlen hat. Die Warnung wurde mit Material verbreitet, das SEAL Security Alliance zugeschrieben wird.

Nordkoreanischer Fake-Zoom-Betrug. Quelle: Taylor Monahan via X

Fake-Zoom-Krypto-Hack beginnt mit Übernahme eines Telegram-Kontos

Der nordkoreanische Fake-Zoom-Betrug beginnt oft auf Telegram. Monahan sagte, dass die erste Nachricht von einem Konto kommen kann, das das Ziel kennt.

Der Chat wechselt dann zu einem Zoom-Plan. Monahan sagte, dass die Angreifer einen Link senden, der echt aussieht. Sie sagte, der Link sei „meistens maskiert, um echt zu wirken“.

„Sie teilen vor dem Anruf einen Link, der meistens maskiert ist, um echt zu wirken,“

sagte Monahan. Sie fügte hinzu, dass Opfer während des Anrufs „die Person + einige ihrer Partnerkollegen“ sehen können.

Monahan ging auch auf Behauptungen über KI-Videos ein.

„Diese Videos sind keine Deepfakes, wie weithin berichtet wurde,“

sagte sie. „Es handelt sich um echte Aufnahmen aus der Zeit, als sie gehackt wurden, oder aus öffentlichen Quellen (Podcasts).“

Zoom-Malware-Link liefert Malware über eine „Patch“-Datei

Während des Anrufs inszenieren die Angreifer laut Monahan Audioprobleme. Dann senden sie eine „Patch“-Datei, um das Problem zu beheben.

Der Zoom-Malware-Link und die „Patch“-Datei stehen im Zentrum des Fake-Zoom-Krypto-Hacks. Monahan sagte, dass das Öffnen der Datei das Gerät infiziert.

Danach, so Monahan, beenden die Angreifer den Anruf und verhalten sich ruhig. „Leider ist Ihr Computer bereits kompromittiert“, sagte sie. „Sie bleiben einfach ruhig, um eine Entdeckung zu verhindern.“

Monahan sagte, die Malware unterstütze den Diebstahl von Krypto-Wallets, sowie Passwort- und Private-Key-Diebstahl. Sie sagte außerdem, dass Angreifer es auf „Ihr Telegram-Konto“ abgesehen haben.

Übernahme von Telegram-Konten hilft, den nordkoreanischen Fake-Zoom-Betrug auszuweiten

Monahan sagte, dass die Übernahme von Telegram-Konten dazu beiträgt, den nordkoreanischen Fake-Zoom-Betrug zu verbreiten.

Sie sagte, Angreifer nutzen kompromittierte Telegram-Konten, um gespeicherte Kontakte zu erreichen. Dieser Zugriff schafft neue Ziele für das gleiche Krypto-Phishing-Muster auf Zoom.

Monahan beschrieb die Auswirkungen auf das Netzwerk eines Opfers direkt: „Dann wirst du all deine Freunde rekt machen“, sagte sie, nachdem sie die Kompromittierung des Telegram-Kontos beschrieben hatte.

„Zuletzt, wenn sie dein Telegram hacken, musst du JEDEM SOFORT Bescheid geben“, sagte Monahan. „Du bist dabei, deine Freunde zu hacken. Bitte leg deinen Stolz beiseite und SCHREI darüber.“

Taylor Monahan listet Schritte nach dem Klick auf einen Zoom-Malware-Link auf

Monahan beschrieb, was Opfer berichteten, nachdem sie während des nordkoreanischen Fake-Zoom-Betrugs auf einen Zoom-Malware-Link geklickt hatten.

Sie sagte, die Betroffenen sollten die Verbindung zum WLAN trennen und das betroffene Gerät ausschalten. Dann sollten sie ein anderes Gerät verwenden, um Gelder zu verschieben, Passwörter zu ändern und, wo möglich, Zwei-Faktor-Authentifizierung zu aktivieren.

Sie beschrieb auch ein „vollständiges Speicherlöschen“, bevor das infizierte Gerät wieder verwendet wird. Sie beschrieb auch Sicherheitsmaßnahmen für das Telegram-Konto, einschließlich Überprüfung der Gerätesitzungen, Beenden anderer Sitzungen und Aktualisierung der Authentifizierungskontrollen.

Monahan bezeichnete den Schutz von Telegram als „kritisch“, da Angreifer die Übernahme von Telegram-Konten nutzen, um die Fake-Zoom-Krypto-Hack-Kette fortzusetzen.