Falsa truffa malware su Zoom collegata agli hacker nordcoreani prende di mira gli utenti crypto

• La truffa si basa sull’imitazione di Telegram e su videochiamate preregistrate per costruire fiducia.
• Il malware viene inviato come audio falso o patch SDK durante la riunione.
• Security Alliance afferma di monitorare ogni giorno più tentativi di questo tipo.

I cybercriminali nordcoreani stanno intensificando gli attacchi di ingegneria sociale sfruttando riunioni false su Zoom e Teams per distribuire malware che drenano dati sensibili e wallet criptovalute.

La società di cybersecurity Security Alliance, nota anche come SEAL, ha avvertito di monitorare molteplici tentativi giornalieri collegati a queste campagne.

L’attività mette in evidenza uno spostamento verso un inganno più convincente e in tempo reale, piuttosto che verso un phishing rozzo.

L’avviso segue le rivelazioni del ricercatore di sicurezza di MetaMask Taylor Monahan, che ha monitorato attentamente il modello e segnalato la portata delle perdite già legate alla tattica.

Il metodo si basa sulla familiarità, sulla fiducia e sulle abitudini lavorative, rendendolo particolarmente efficace contro i professionisti del settore crypto e tecnologico che utilizzano regolarmente strumenti di videoconferenza.

Come funziona la truffa finta su Zoom

L’attacco inizia tipicamente su Telegram, dove le vittime ricevono un messaggio da un account che sembra appartenere a qualcuno che già conoscono. Gli aggressori mirano specificamente a contatti con cronologia di chat esistente, aumentando la credibilità e abbassando i sospetti.

Una volta iniziato l’engagement, la vittima viene guidata a fissare un incontro tramite un link Calendly, che porta a quella che sembra una vera chiamata Zoom.

Quando la riunione si avvia, la vittima vede quello che sembra essere un video in diretta del proprio contatto e degli altri membri del team.

In realtà, le riprese sono preregistrate, non deepfake generate dall’IA.

Durante la chiamata, l’attaccante sostiene che ci sono problemi audio e suggerisce di installare una soluzione rapida.

Un file viene condiviso nella chat e presentato come patch o aggiornamento del kit di sviluppo software per ripristinare la nitidezza del suono.

Quel file contiene il payload malware. Una volta installato, dà all’attaccante l’accesso remoto al dispositivo della vittima.

Impatto del malware su wallet crypto

Il software malevolo è spesso un Trojan di Accesso Remoto. Dopo l’installazione, estrae silenziosamente informazioni sensibili, inclusi password, documentazione di sicurezza interna e chiavi private.

In ambienti focalizzati sulle criptovalute, questo può portare a un completo svuotamento del wallet con pochi segnali immediati di compromesso.

Monahan ha avvertito su X che oltre 300 milioni di dollari sono già stati rubati usando varianti di questo approccio, e che gli stessi attori minacciosi continuano a sfruttare riunioni false su Zoom e Teams per compromettere gli utenti.

SEAL ha ribadito la preoccupazione, sottolineando la frequenza e la costanza di questi tentativi in tutto il settore crypto.

Il manuale in evoluzione della cyber Corea del Nord

I gruppi di hacker nordcoreani sono da tempo collegati a crimini informatici a motivazione finanziaria, con proventi ritenuti a sostegno del regime.

Gruppi come Lazarus hanno precedentemente preso di mira exchange e società blockchain tramite exploit diretti e attacchi alla catena di approvvigionamento.

Più recentemente, questi attori si sono molto affidati all’ingegneria sociale.

Negli ultimi mesi, hanno infiltrato aziende crypto usando domande di lavoro false e processi di colloquio messi in scena progettati per diffondere malware.

Il mese scorso, Lazarus è stata collegata a una violazione della più grande borsa sudcoreana, Upbit, che ha causato perdite di circa 30,6 milioni di dollari.

La tattica finta di Zoom riflette una più ampia svolta strategica verso vettori di attacco incentrati sull’uomo che bypassano le salvaguardie tecniche.

Cosa dicono gli esperti che gli utenti dovrebbero fare

Gli esperti di sicurezza avvertono che una volta eseguito un file malevolo, la velocità conta.

In caso di sospetta infezione durante una chiamata, si consiglia agli utenti di disconnettersi immediatamente dal WiFi e spegnere il dispositivo per interrompere l’esfiltrazione dei dati.

L’avvertimento più ampio è di trattare con estrema cautela link di incontri inaspettati, patch software e richieste tecniche urgenti, anche quando sembrano provenire da contatti noti.