Северна Корея напоследък използва фалшиви Zoom обаждания, подсилени с изкуствен интелект, за да подмами профили от сектора на криптовалутите и да опразни портфейлите им за минути. Как една обикновена видеоконференция може да бъде достатъчна, за да поеме пълен контрол над вашите устройства и да заобиколи бдителността дори на най-опитните?
Мащабна програма с цел да се напълнят публичните сметки
От началото на 2020 г. Северна Корея провежда глобална операция по проникване в компании с помощта на своята армия от „фалшиви телеработници“ в рамките на програма за генериране на приходи за правителството. Изглежда, че част от тази работна сила наскоро е пренасочена към изцяло нова кампания за социално инженерство, насочена този път към сектора на криптовалутите.
🚨 ПРЕДУПРЕЖДЕНИЕ (ОТНОВО)
Злоумишлениците от КНДР все още мамят прекалено много от вас чрез фалшивите си срещи в Zoom / Teams.
Те превземат вашите Telegram профили и ги използват, за да мамят всичките ви приятели.
Те вече са откраднали над 300 милиона долара чрез този метод.
Прочетете това. Спрете цикъла. 🙏 pic.twitter.com/tJTo9lkq0v
— Tay 💖 (@tayvano_) 13 декември 2025 г.
Напоследък са откраднати близо 300 милиона долара, обяснява Тейлър Монахан (по-известен под псевдонима Tayvano), изследовател по сигурността в MetaMask.
Начинът на действие е доста добре известен и документиран, тъй като от 2024 г. Microsoft Threat Intelligence наблюдава тези дейности. Нападателят започва с кражбата на подходящ и легитимен профил в зависимост от целта, към която се стреми. След това създава цяла дигитална екосистема около откраднатия профил (меседжъри, социални мрежи, профили в GitHub или LinkedIn), за да установи легитимен дигитален отпечатък.
След това изкуственият интелект (AI) се използва, за да се постави изображението от изходния профил върху изображения и видеоклипове, които служат на целите им. Те използват също VPN, VPS, прокси услуги и RMM инструменти, за да скрият географското си местоположение и истинската си цифрова идентичност.
Това ни съобщи наскоро и Кларис Хагеж, основателка на Dfns, която ни разкри, че е била обект на опит за проникване от страна на 3 севернокорейски хакери.
Тя подчертава също, че секторът на криптовалутите е приоритетна цел в стратегията на Северна Корея. Чуйте пълното ни интервю в нашия подкаст:
Кандидатите трябва да предоставят поне 3 препоръки за предишните си работни места. Хората забравят да го направят, но това работи много добре.
Кампания за социално инженерство, използваща платформи като Teams или Zoom
Днес тази стратегия се рециклира и се насочва към нови цели. Както описва Тейлър Монахан, атаката започва с компрометирането на легитимен Telegram акаунт. Тези акаунти често са на рискови инвеститори или лектори, профили, които могат да се възползват от нашата предразположеност към авторитети.
След като внимателно анализират историята на разговорите на първата си жертва, за да подхранят легендата си, те използват вече установените контакти. Последните се насочват към срещи в Zoom или Teams чрез прикрит Calendly линк.
🇰🇵 В новините – Северна Корея е зад хакването на Upbit за 30 милиона долара
На видеото жертвата взаимодейства с рециклиран запис от подкаст или публично появяване на авторитетната личност, благодарение на интелигентното използване на изкуствен интелект, видео потока изглежда легитимен.
След това атакуващият симулира проблеми с аудиото или видеото. Той моли жертвата си да изтегли SDK, което му позволява да възстанови връзката. То разгръща злонамерен скрипт, който инсталира зловреден софтуер на компютъра на целта. Този троянски кон предоставя пълен контрол над компютъра на жертвата, давайки пълен достъп до портфейлите на целта.
Засилване на оперативната сигурност и проявяване на бдителност
За да се предпазите от този тип заплахи, е от съществено значение да разполагате със силна (силна парола) и многофакторна (приложение MFA и 2FA) автентификация на вашите комуникационни приложения.
Освен това е важно да помните, че по време на разговор с вашия събеседник трябва да знаете кой ви пише (автентичност), трябва да знаете, че това, което ви пише, не е било променено (автентичност) и трябва да се уверите, че никой друг не знае какво сте си разменили (поверителност).
Освен това, никога не изтегляйте пакети с данни, ако не сте сигурни в тяхната цялост и легитимност. Ако това не е възможно, можете да ги отворите в специална виртуална машина, за да проверите съдържанието им.
Накрая, в случай на компрометиране на вашия Telegram акаунт, изтрийте пространството си и предупредете контактите си, за да ги предупредите и да прекъснете веригата на измамите.
Бъдете бдителни и имайте предвид, че вашето антропологично функциониране ви излага на когнитивни предубеждения (предубеждение към авторитета, предубеждение към познатото, предубеждение към спешността…). Когато те бъдат експлоатирани, вероятно ще станете жертва.
