В последнее время Северная Корея использует поддельные звонки через Zoom с применением искусственного интеллекта, чтобы заманить в ловушку представителей криптовалютного сектора и опустошить их кошельки за считанные минуты. Как одной простой видеоконференции может хватить, чтобы полностью завладеть вашими устройствами и обойти бдительность даже самых опытных пользователей?
Масштабная программа, направленная на пополнение государственных счетов
С начала 2020 года Северная Корея проводит глобальную операцию по проникновению в компании с помощью своей армии «поддельных удаленных сотрудников» в рамках программы по получению доходов для правительства. Похоже, что часть этой рабочей силы в последнее время перенаправлена на совершенно новую кампанию социальной инженерии, нацеленную на этот раз на сектор криптовалют.
ПРЕДУПРЕЖДЕНИЕ (СНОВА)
Злоумышленники из КНДР по-прежнему обманывают слишком многих из вас с помощью поддельных встреч в Zoom и Teams.
Они захватывают ваши аккаунты в Telegram — и используют их, чтобы обмануть всех ваших друзей.
С помощью этого метода они уже похитили более 300 млн долларов.
Прочитайте это. Прервите этот цикл. pic.twitter.com/tJTo9lkq0v
— Tay (@tayvano_) 13 декабря 2025 г.
По словам Тейлора Монахана (более известного под псевдонимом Tayvano), исследователя в области безопасности в MetaMask, в последнее время было похищено около 300 миллионов долларов.
Способ действий достаточно хорошо известен и задокументирован, поскольку с 2024 года Microsoft Threat Intelligence отслеживает подобную деятельность. Злоумышленник начинает с кражи подходящего и легитимного профиля в зависимости от выбранной цели. Затем он создает целую цифровую экосистему вокруг этого похищенного профиля (мессенджеры, социальные сети, профили в GitHub или LinkedIn), чтобы сформировать легитимный цифровой след.
Затем с помощью искусственного интеллекта (ИИ) изображение исходного профиля накладывается на фотографии и видео, служащие их целям. Они также используют VPN, VPS, прокси-сервисы и инструменты RMM, чтобы скрыть свою геолокацию и истинную цифровую личность.
Об этом же недавно сообщила нам Кларис Хажеж, основательница Dfns, которая рассказала, что стала объектом попытки взлома со стороны трех северокорейских хакеров.
Кроме того, она подчеркивает, что сектор криптовалют является приоритетной целью в стратегии Северной Кореи. Полную версию нашего интервью вы можете найти в нашем подкасте:
Кандидаты должны предоставить как минимум 3 рекомендации по своим предыдущим местам работы. Люди забывают об этом, но это очень хорошо работает.
Кампания социальной инженерии, использующая такие платформы, как Teams или Zoom
Сегодня эта стратегия переработана и направлена на новые цели. Как описывает Тейлор Монахан, атака начинается с взлома легитимной учетной записи Telegram. Целевыми учетными записями часто являются инвесторы венчурного капитала или докладчики — личности, которые могут воспользоваться нашим предвзятым отношением к авторитетам.
Тщательно проанализировав историю переписки своей первой жертвы для подкрепления своей легенды, злоумышленники используют уже установленные контакты. Последних направляют на встречи в Zoom или Teams через замаскированную ссылку Calendly.
В новостях — Северная Корея, предположительно, стоит за хакерской атакой на Upbit на сумму 30 миллионов долларов
На видео жертва взаимодействует с переработанной записью подкаста или публичного выступления авторитетного лица; благодаря умному использованию ИИ видеопоток выглядит достоверно.
Затем злоумышленник имитирует проблемы со звуком или видео. Он просит жертву загрузить SDK, который якобы позволит восстановить соединение. Этот SDK запускает вредоносный скрипт, устанавливающий вредоносное ПО на компьютер жертвы. Данный троянский вирус обеспечивает полный контроль над компьютером жертвы, предоставляя полный доступ к ее кошелькам.
Усиление операционной безопасности и проявление бдительности
Чтобы защититься от подобных угроз, крайне важно использовать надежную (надежный пароль) и многофакторную (приложения MFA и 2FA) аутентификацию в ваших коммуникационных приложениях.
Кроме того, важно помнить, что во время общения с собеседником вы должны знать, кто вам пишет (аутентичность), вы должны быть уверены, что то, что он вам пишет, не было подделано (аутентичность), и вы должны убедиться, что никто другой не знает о том, что вы обменялись (конфиденциальность).
Кроме того, никогда не загружайте пакеты данных, если вы не уверены в их целостности и легитимности. В противном случае вы можете открыть их в специальной виртуальной машине, чтобы проверить их содержимое.
Наконец, в случае взлома вашей учетной записи Telegram удалите свой аккаунт и предупредите своих контактов, чтобы предотвратить дальнейшее распространение мошенничества.
Проявляйте бдительность и помните, что особенности человеческого поведения подвергают вас влиянию когнитивных искажений (эффект авторитета, эффект знакомости, эффект срочности и т. д.). Когда эти факторы используются против вас, вы, скорее всего, становитесь жертвой мошенников.
