Северокорейская фейковая Zoom-афера быстро распространяется, SEAL сообщает о ежедневных попытках

SEAL Security Alliance заявила, что теперь отслеживает многочисленные ежедневные попытки, связанные с северокорейской мошеннической схемой с поддельным Zoom.

Взлом криптовалюты через поддельный Zoom начинается с приглашения на встречу, которое выглядит нормально. Затем оно переходит к загрузке файла, который устанавливает вредоносное ПО.

Исследователь по безопасности Тейлор Монахан сообщила, что этот метод уже украл более 300 миллионов долларов. Предупреждение распространяется с материалами, приписанными SEAL Security Alliance.

Северокорейская мошенническая схема с поддельным Zoom. Источник: Taylor Monahan через X

Мошенничество с поддельным Zoom начинается с захвата аккаунта в Telegram

Северокорейская мошенническая схема с поддельным Zoom часто начинается в Telegram. Монахан сообщила, что первое сообщение может прийти с аккаунта, знакомого жертве.

Далее чат переходит к плану встречи в Zoom. Монахан отметила, что злоумышленники присылают ссылку, которая выглядит настоящей. Она сказала, что ссылка “обычно замаскирована под настоящую”.

“Они отправят ссылку до звонка, которая обычно замаскирована под настоящую,”

сказала Монахан. Она добавила, что жертвы могут видеть “человека и некоторых его коллег” во время звонка.

Монахан также прокомментировала утверждения о видео с искусственным интеллектом.

“Эти видео не являются дипфейками, как широко сообщалось,”

сказала она. “Это реальные записи, полученные во время взлома или из публичных источников (подкасты).”

Ссылка на вредоносное ПО Zoom распространяет вредоносное ПО через файл “Patch”

Во время звонка, по словам Монахан, злоумышленники имитируют проблемы со звуком. Затем они отправляют файл “patch” для устранения проблемы.

Ссылка на вредоносное ПО Zoom и файл “patch” находятся в центре мошеннической схемы с поддельным Zoom. Монахан отметила, что открытие файла заражает устройство.

После этого, по словам Монахан, злоумышленники заканчивают звонок и ведут себя спокойно. “К сожалению, ваш компьютер уже скомпрометирован,” сказала она. “Они просто ведут себя спокойно, чтобы не вызвать подозрений.”

Монахан сообщила, что вредоносное ПО поддерживает кражу криптовалютных кошельков, а также кражу паролей и приватных ключей. Она также отметила, что злоумышленники нацеливаются на “ваш аккаунт Telegram”.

Захват аккаунта в Telegram помогает расширять северокорейскую мошенническую схему с поддельным Zoom

Монахан отметила, что захват аккаунта в Telegram помогает распространять северокорейскую мошенническую схему с поддельным Zoom.

Она сообщила, что злоумышленники используют скомпрометированные аккаунты Telegram для доступа к сохранённым контактам. Этот доступ создаёт новые цели для той же схемы фишинга криптовалют через Zoom.

Монахан описала влияние на сеть жертвы прямо. “Затем вы навредите всем своим друзьям,” сказала она, описывая компрометацию аккаунта Telegram.

“И наконец, если они взломали ваш Telegram, вы должны СРАЗУ ЖЕ ВСЕМ СООБЩИТЬ,” сказала Монахан. “Вы вот-вот взломаете своих друзей. Пожалуйста, отбросьте гордость и КРИЧИТЕ об этом.”

Тейлор Монахан перечисляет шаги после нажатия на ссылку вредоносного ПО Zoom

Монахан описала, что делали жертвы после нажатия на ссылку вредоносного ПО Zoom во время северокорейской мошеннической схемы с поддельным Zoom.

Она рекомендовала отключиться от WiFi и выключить заражённое устройство. Затем использовать другое устройство для перевода средств, смены паролей и включения двухфакторной аутентификации, если это возможно.

Она также описала “полную очистку памяти” перед повторным использованием заражённого устройства. Монахан также рассказала о шагах по обеспечению безопасности аккаунта Telegram, включая проверку активных сессий устройств, завершение других сессий и обновление средств аутентификации.

Монахан назвала защиту Telegram “критически важной”, потому что злоумышленники используют захват аккаунта Telegram для продолжения цепочки мошенничества с поддельным Zoom и криптовалютой.