Home » Zo leegt Noord-Korea uw wallets via Zoom

Zo leegt Noord-Korea uw wallets via Zoom

by Christian

Noord-Korea maakt de laatste tijd gebruik van valse, met AI aangestuurde Zoom-gesprekken om doelwitten uit de cryptovalutasector in de val te lokken en hun wallets binnen enkele minuten leeg te halen. Hoe kan een simpele videoconferentie volstaan om de volledige controle over uw apparaten over te nemen en zelfs de waakzaamheid van de meest ervaren gebruikers te omzeilen?

Een grootschalig programma met als doel overheidsrekeningen te spekken

Sinds begin 2020 voert Noord-Korea een wereldwijde operatie uit om bedrijven te infiltreren met behulp van een leger van “nep-telewerkers” in het kader van een programma om inkomsten voor de regering te genereren. Het lijkt erop dat een deel van deze arbeidskrachten onlangs is ingezet voor een geheel nieuwe social engineering-campagne, die zich ditmaal richt op de cryptovalutasector.

Onlangs is er bijna 300 miljoen dollar gestolen, aldus Taylor Monahan (beter bekend onder de pseudoniem Tayvano), beveiligingsonderzoeker bij MetaMask.

De werkwijze is vrij goed bekend en gedocumenteerd, aangezien Microsoft Threat Intelligence deze activiteiten al sinds 2024 observeert. De aanvaller begint met het stelen van een samenhangend en legitiem profiel dat past bij het beoogde doelwit. Vervolgens creëert hij een heel digitaal ecosysteem rond dit gestolen profiel (messagingdiensten, sociale media, GitHub- of LinkedIn-profielen) om een legitieme digitale voetafdruk op te bouwen.

Vervolgens wordt kunstmatige intelligentie (AI) ingezet om de afbeelding van hun bronprofiel te plaatsen op foto’s en video’s die hun doel dienen. Ze maken ook gebruik van VPN’s, VPS’en, proxyservices en RMM-tools om hun geolocatie en hun werkelijke digitale identiteit te verbergen.

Dit werd onlangs ook bevestigd door Clarisse Hagège, oprichtster van Dfns, die ons vertelde dat zij het doelwit was geweest van een inbraakpoging door drie Noord-Koreaanse hackers.

Zij benadrukt bovendien dat de cryptovalutasector een belangrijk doelwit vormt in de strategie van Noord-Korea. Luister naar ons volledige interview in onze podcast:

Sollicitanten moeten ten minste drie referenties opgeven over hun eerdere banen. Mensen vergeten dit vaak te doen, maar het werkt zeer goed.

Een social engineering-campagne die gebruikmaakt van platforms zoals Teams of Zoom

Deze strategie wordt vandaag de dag hergebruikt en gericht op nieuwe doelwitten. Zoals Taylor Monahan beschrijft, vindt de aanval zijn oorsprong in het misbruiken van een legitiem Telegram-account. Deze doelaccounts zijn vaak durfkapitalisten of sprekers, profielen die onze autoriteitsbias kunnen uitbuiten.

Nadat ze de gespreksgeschiedenis van hun eerste slachtoffer zorgvuldig hebben geanalyseerd om hun dekmantel te versterken, maken ze gebruik van de reeds opgebouwde contacten. Deze worden via een verkapte Calendly-link naar Zoom- of Teams-vergaderingen geleid.

In het nieuws – Noord-Korea zou achter de hack van 30 miljoen dollar bij Upbit zitten

In de video communiceert het slachtoffer met een hergebruikte opname van een podcast of een openbaar optreden van de autoriteitsfiguur; dankzij slim gebruik van AI lijkt de videostream legitiem.

De aanvaller simuleert vervolgens audio- of videoproblemen. Hij vraagt zijn slachtoffer een SDK te downloaden waarmee de verbinding kan worden hersteld. Deze SDK voert een kwaadaardig script uit, waardoor malware op de computer van het doelwit wordt geïnstalleerd. Deze Trojaanse paard geeft volledige controle over de computer van het slachtoffer, waardoor volledige toegang tot de wallets van het doelwit wordt verkregen.

Uw operationele beveiliging versterken en waakzaam blijven

Om u tegen dit soort bedreigingen te beschermen, is het van cruciaal belang om te beschikken over sterke (sterk wachtwoord) en meervoudige authenticatie (MFA- en 2FA-applicaties) voor uw communicatieapplicaties.

Het is bovendien belangrijk om te onthouden dat u tijdens een gesprek met uw gesprekspartner moet weten wie u schrijft (authenticiteit), dat u zeker moet zijn dat wat hij u schrijft niet is gewijzigd (integriteit) en dat u ervoor moet zorgen dat niemand anders weet wat u hebt uitgewisseld (vertrouwelijkheid).

Download bovendien nooit gegevenspakketten als u niet zeker bent van de integriteit en legitimiteit ervan. Als dat niet het geval is, kunt u ze openen in een speciale virtuele machine om de inhoud te controleren.

Tot slot: mocht uw Telegram-account gehackt zijn, verwijder dan uw account en waarschuw uw contacten om hen te informeren en de keten van oplichting te doorbreken.

Wees waakzaam en houd in gedachten dat uw menselijke aard u blootstelt aan cognitieve vooroordelen (autoriteitsvooroordeel, vertrouwdheidsvooroordeel, urgentievooroordeel…). Wanneer hier misbruik van wordt gemaakt, bent u waarschijnlijk het slachtoffer.

Related Posts

Leave a Comment