Home » So leert Nordkorea Ihre Wallets über Zoom

So leert Nordkorea Ihre Wallets über Zoom

by Patricia

Nordkorea nutzt seit kurzem gefälschte, KI-gestützte Zoom-Anrufe, um Akteure aus der Kryptowährungsbranche in die Falle zu locken und deren Wallets innerhalb weniger Minuten zu leeren. Wie kann eine einfache Videokonferenz ausreichen, um die vollständige Kontrolle über Ihre Geräte zu erlangen und selbst die Wachsamkeit der Erfahrensten zu umgehen?

Ein groß angelegtes Programm mit dem Ziel, öffentliche Konten zu füllen

Seit Anfang 2020 führt Nordkorea im Rahmen eines Programms zur Generierung von Einnahmen für die Regierung eine weltweite Operation zur Infiltration von Unternehmen durch, unterstützt von einer Armee „gefälschter Telearbeiter“. Es scheint, als würde ein Teil dieser Arbeitskräfte in letzter Zeit für eine völlig neue Social-Engineering-Kampagne umfunktioniert, die diesmal auf den Kryptowährungssektor abzielt.

In jüngster Zeit wurden fast 300 Millionen Dollar gestohlen, berichtet Taylor Monahan (besser bekannt unter dem Pseudonym Tayvano), Sicherheitsforscher bei MetaMask.

Die Vorgehensweise ist recht gut bekannt und dokumentiert, da Microsoft Threat Intelligence diese Aktivitäten seit 2024 beobachtet. Der Angreifer beginnt damit, ein stimmiges und legitimes Profil zu stehlen, das auf das von ihm anvisierte Ziel zugeschnitten ist. Anschließend baut er ein ganzes digitales Ökosystem um dieses gestohlene Profil herum auf (Messenger-Dienste, soziale Netzwerke, GitHub- oder LinkedIn-Profile), um einen legitimen digitalen Fußabdruck zu etablieren.

Anschließend wird künstliche Intelligenz (KI) genutzt, um das Bild ihres Quellprofils auf Bilder und Videos zu übertragen, die ihren Zielen dienen. Sie verwenden zudem VPNs, VPS, Proxy-Dienste und RMM-Tools, um ihre Geolokalisierung und ihre wahre digitale Identität zu verschleiern.

Dies bestätigte uns kürzlich auch Clarisse Hagège, Gründerin von Dfns, die uns anvertraute, Ziel eines Einbruchsversuchs durch drei nordkoreanische Hacker gewesen zu sein.

Sie betont zudem, dass der Kryptowährungssektor ein bevorzugtes Ziel in der Strategie Nordkoreas darstellt. Das vollständige Interview finden Sie in unserem Podcast:

Bewerber müssen mindestens drei Referenzen zu ihren früheren Arbeitsstellen angeben. Die Leute vergessen das oft, aber es funktioniert sehr gut.

Eine Social-Engineering-Kampagne, die Plattformen wie Teams oder Zoom ausnutzt

Diese Strategie wird heute wiederverwendet und auf neue Ziele ausgerichtet. Wie Taylor Monahan beschreibt, geht der Angriff auf die Kompromittierung eines legitimen Telegram-Kontos zurück. Bei diesen Zielkonten handelt es sich häufig um Risikokapitalgeber oder Referenten – Profile, die unsere Autoritätsverzerrung ausnutzen können.

Nachdem sie den Chatverlauf ihres ersten Opfers sorgfältig analysiert haben, um ihre Legende zu untermauern, nutzen sie die bereits bestehenden Kontakte aus. Diese werden über einen getarnten Calendly-Link zu Zoom- oder Teams-Meetings weitergeleitet.

Aktuelles – Nordkorea soll hinter dem 30-Millionen-Dollar-Hack bei Upbit stecken

Im Video interagiert das Opfer mit einer wiederverwendeten Aufzeichnung eines Podcasts oder eines öffentlichen Auftritts der Autoritätsperson; dank einer geschickten Nutzung von KI wirkt der Videostream echt.

Der Angreifer täuscht anschließend Audio- oder Videoprobleme vor. Er fordert sein Opfer auf, ein SDK herunterzuladen, mit dem die Verbindung wiederhergestellt werden kann. Dieses SDK führt ein bösartiges Skript aus und installiert Malware auf dem Rechner des Opfers. Dieser Trojaner verschafft dem Angreifer die vollständige Kontrolle über den Computer des Opfers und ermöglicht ihm uneingeschränkten Zugriff auf die Wallets des Opfers.

Stärken Sie Ihre Betriebssicherheit und seien Sie wachsam

Um sich vor dieser Art von Bedrohungen zu schützen, ist es unerlässlich, über eine starke (starkes Passwort) und mehrstufige (MFA- und 2FA-Anwendung) Authentifizierung für Ihre Kommunikationsanwendungen zu verfügen.

Darüber hinaus ist es wichtig, sich daran zu erinnern, dass Sie bei einem Gespräch mit Ihrem Gesprächspartner wissen müssen, wer Ihnen schreibt (Authentizität), dass das, was er Ihnen schreibt, nicht verändert wurde (Integrität) und dass Sie sicherstellen müssen, dass niemand sonst erfährt, was Sie ausgetauscht haben (Vertraulichkeit).

Laden Sie außerdem niemals Datenpakete herunter, wenn Sie sich nicht über deren Integrität und Legitimität sicher sind. Ist dies nicht der Fall, können Sie diese in einer dafür vorgesehenen virtuellen Maschine öffnen, um deren Inhalt zu überprüfen.

Sollte Ihr Telegram-Konto kompromittiert worden sein, löschen Sie Ihren Account und benachrichtigen Sie Ihre Kontakte, um sie zu warnen und die Betrugskette zu unterbrechen.

Seien Sie wachsam und denken Sie daran, dass Ihre menschliche Natur Sie kognitiven Verzerrungen aussetzt (Autoritätsverzerrung, Vertrautheitsverzerrung, Dringlichkeitsverzerrung …). Wenn diese ausgenutzt werden, sind Sie wahrscheinlich das Opfer.

Related Posts

Leave a Comment