📌 La Corée du Nord a volé trois cents millions de dollars en crypto-monnaies grâce à de fausses sessions Zoom
es cybercriminels nord-coréens ont volé plus de 300 millions de dollars en se faisant passer pour des figures d’autorité sur le terrain lors de faux appels à Zoom et Microsoft Teams.
Les attaquants compromettent les comptes Telegram, utilisent des séquences vidéo préenregistrées et simulent des défaillances techniques pour inciter les victimes à installer des logiciels malveillants conçus pour retirer des cryptoactifs.
En conséquence, les experts en cybersécurité conseillent de considérer comme une tentative d’attaque active toute demande d’installation d’un logiciel lors d’une conversation en face à face.
Les cyber-vilains de la RPDC ont changé de tactique dans leurs opérations d’ingénierie sociale. Ils ont escroqué plus de 300 millions de dollars en se faisant passer pour des membres respectés de l’industrie lors de fausses conférences vidéo.
L’alerte, détaillée par l’analyste en sécurité de MetaMask Taylor Monahan (alias Tayvano), décrit une “escroquerie de longue date” sophistiquée ciblant les personnes travaillant dans le domaine des crypto-monnaies.
Selon Monahan, cette campagne diffère des attaques récentes qui ont utilisé des faux documents basés sur l’IA.
Au lieu de cela, ils utilisent une méthode plus directe basée sur des comptes Telegram compromis et des séquences en boucle de vraies interviews.
Les menaces de la Corée du Nord continuent d’affecter nombre d’entre vous par le biais de fausses réunions Zoom ou de faux appels à des équipes.
Ils détournent vos comptes Telegram et les utilisent pour envoyer des messages à tous vos contacts.
Ils ont déjà volé plus de 300 millions de dollars de cette manière.
L’attaque commence généralement après que les pirates ont accédé à un compte Telegram de confiance, appartenant souvent à un investisseur en capital-risque ou à une personne avec laquelle la victime a déjà communiqué lors d’un événement.
Les escrocs utilisent ensuite l’historique des communications précédentes pour créer une apparence de légitimité en dirigeant la victime vers un appel vidéo sur Zoom ou Microsoft Teams via un lien hypertexte Calendly déguisé.
Une fois la conférence téléphonique commencée, la personne voit une vidéo qui ressemble à une diffusion en direct de son contact.
En réalité, il s’agit souvent d’un enregistrement édité à partir d’un podcast ou d’une session de discours public.
Le point de bascule se situe généralement après un problème technique.
Invoquant des problèmes audio ou d’image, l’attaquant propose à la victime de se reconnecter en téléchargeant un script ou en mettant à jour le kit de développement logiciel (SDK). Le fichier transféré à ce moment-là contient un composant malveillant.
Une fois installé, le logiciel malveillant – souvent un cheval de Troie d’accès à distance (RAT) – donne au pirate un contrôle total.
Il vide les portefeuilles de crypto-monnaies et extrait des informations sensibles, notamment les protocoles de sécurité internes et les jetons de session Telegram, qui sont ensuite utilisés pour la prochaine cible du réseau.
Monahan prévient que ce canal d’attaque particulier exploite l’éthique professionnelle.