La truffa nordcoreana di Zoom falso si diffonde rapidamente mentre SEAL segnala tentativi quotidiani

SEAL Security Alliance ha dichiarato di monitorare ora molteplici tentativi giornalieri legati alla truffa nordcoreana del falso Zoom.

L’attacco informatico tramite falso Zoom utilizza un invito a una riunione che sembra normale. Successivamente, si passa a un download di file che installa un malware.

La ricercatrice di sicurezza Taylor Monahan ha affermato che questo metodo ha già sottratto oltre 300 milioni di dollari. L’avvertimento è stato diffuso con materiale attribuito a SEAL Security Alliance.

North Korean Fake Zoom Scam. Fonte: Taylor Monahan via X

L’attacco informatico tramite falso Zoom inizia con la presa di controllo di un account Telegram

La truffa nordcoreana del falso Zoom spesso inizia su Telegram. Monahan ha affermato che il primo messaggio può provenire da un account riconosciuto dalla vittima.

La chat poi si sposta su un piano Zoom. Monahan ha detto che gli aggressori inviano un link che sembra autentico. Ha aggiunto che il link è “di solito mascherato per sembrare reale”.

“Condivideranno un link prima della chiamata che di solito è mascherato per sembrare reale,”

ha detto Monahan. Ha aggiunto che le vittime possono vedere “la persona + alcuni dei loro colleghi partner” durante la chiamata.

Monahan ha anche affrontato le affermazioni riguardanti i video AI.

“Questi video non sono deepfake come ampiamente riportato,”

ha detto. “Sono registrazioni reali prese quando sono stati hackerati o da fonti pubbliche (podcast).”

Il link malware di Zoom distribuisce malware tramite un file “patch”

Durante la chiamata, Monahan ha detto che gli aggressori simulano problemi audio. Poi inviano un file “patch” per risolvere il problema.

Il link malware di Zoom e il file “patch” sono al centro della truffa del falso Zoom. Monahan ha detto che aprire il file infetta il dispositivo.

Dopodiché, Monahan ha detto che gli aggressori terminano la chiamata e si comportano con calma. “Purtroppo, il tuo computer è già compromesso,” ha detto. “Si comportano con disinvoltura per evitare di essere scoperti.”

Monahan ha detto che il malware consente il furto di wallet crypto, oltre al furto di password e chiavi private. Ha anche detto che gli aggressori prendono di mira “il tuo account Telegram.”

La presa di controllo dell’account Telegram aiuta a espandere la truffa nordcoreana del falso Zoom

Monahan ha detto che la presa di controllo dell’account Telegram aiuta a diffondere la truffa nordcoreana del falso Zoom.

Ha detto che gli aggressori utilizzano gli account Telegram compromessi per raggiungere i contatti memorizzati. Questo accesso crea nuovi potenziali bersagli per lo stesso schema di phishing crypto su Zoom.

Monahan ha descritto l’effetto sulla rete della vittima in termini diretti. “Poi finirai per rovinare tutti i tuoi amici,” ha detto, dopo aver descritto la compromissione dell’account Telegram.

“Infine, se ti hackerano Telegram, devi DIRLO A TUTTI IL PRIMA POSSIBILE,” ha detto Monahan. “Stai per hackerare i tuoi amici. Metti da parte l’orgoglio e URLALO.”

Taylor Monahan elenca i passaggi dopo aver cliccato su un link malware di Zoom

Monahan ha descritto cosa hanno riferito di aver fatto le vittime dopo aver cliccato su un link malware di Zoom durante la truffa nordcoreana del falso Zoom.

Ha detto che le persone dovrebbero disconnettersi dal WiFi e spegnere il dispositivo compromesso. Poi dovrebbero usare un altro dispositivo per spostare i fondi, cambiare le password e abilitare l’autenticazione a due fattori dove possibile.

Ha anche descritto una “cancellazione completa della memoria” prima di riutilizzare il dispositivo infetto. Ha descritto anche i passaggi per la sicurezza dell’account Telegram, inclusi il controllo delle sessioni attive, la terminazione delle altre sessioni e l’aggiornamento dei controlli di autenticazione.

Monahan ha definito la protezione di Telegram “critica” perché gli aggressori usano la presa di controllo dell’account Telegram per continuare la catena della truffa del falso Zoom crypto.