Criminosos cibernéticos da Coreia do Norte realizaram uma mudança estratégica em ataques de engenharia social. Disfarçando-se como indivíduos confiáveis dentro da indústria, eles obtiveram fraudulentamente mais de 300 milhões de dólares através de uma falsa videoconferência.
Este aviso é de Taylor Monahan, pesquisador de segurança da MetaMask (conhecido pelo nome de Tayvano). Ele discute sobre uma sofisticada "fraude de longo prazo" direcionada a executivos da indústria de ativos digitais.
Método de fuga de ativos digitais por ataques falsos de reunião liderados pela Coreia do Norte
De acordo com o Sr. Monahan, este ataque está demonstrando um comportamento diferente dos incidentes recentes que utilizam IA e deepfakes.
Em vez disso, estão utilizando métodos mais simples, como a repetição de reprodução de contas do Telegram comprometidas ou vídeos reais de entrevistas.
Os ataques geralmente começam com o comprometimento de contas do Telegram confiáveis, como investidores de capital de risco ou pessoas com quem a vítima já se encontrou em reuniões.
Posteriormente, os atacantes utilizam o histórico de chats anteriores para se fazerem passar por pessoas legítimas e induzem as vítimas a participar de reuniões por vídeo no Zoom ou Microsoft Teams por meio de links falsos do Calendly.
Quando a reunião começa, a vítima vê o interlocutor aparecendo em vídeo ao vivo. No entanto, na verdade, muitas vezes são gravações reutilizadas de podcasts ou vídeos de eventos públicos.
E logo após uma suposta falha técnica deliberada, surge o momento decisivo.
Os atacantes solicitam às vítimas a atualização de scripts ou kits de desenvolvimento de software (SDK), alegando problemas com áudio ou vídeo. Quando a vítima baixa este arquivo, ele contém malware.
Após a instalação, este malware (muitas vezes um cavalo de Troia de acesso remoto - RAT) concede ao atacante controle total.
Desta forma, os fundos de carteiras de criptoativos, informações de segurança interna e tokens de sessão do Telegram são roubados e utilizados para ataques subsequentes na rede.
Com base nisso, o Sr. Monahan emite um alerta: este método é uma fraude que transforma normas de negócios em armas.
Os atacantes estão aproveitando a pressão psicológica de 'reuniões de negócios', transformando até mesmo solicitações normais em acidentes de segurança fatais.
Para profissionais do setor de criptoativos, qualquer solicitação de download de software durante uma chamada deve ser imediatamente considerada um sinal de ataque.
Por outro lado, essa tática de 'reuniões falsas' faz parte de uma operação em larga escala conduzida por indivíduos ligados à Coreia do Norte (DPRK). Esse grupo já teria roubado cerca de 2 bilhões de dólares do setor desde o ano passado, com a invasão ao Bybit sendo um exemplo.