- Der Betrug basiert auf Telegram-Imitation und vorab aufgezeichneten Videoanrufen, um Vertrauen aufzubauen.
- Malware wird während des Treffens als gefälschter Audio- oder SDK-Patch bereitgestellt.
- Die Sicherheitsallianz sagt, sie verfolge täglich mehrere solcher Versuche.
Nordkoreanische Cyberkriminelle eskalieren Social-Engineering-Angriffe, indem sie gefälschte Zoom- und Teams-Meetings ausnutzen, um Malware zu verbreiten, die sensible Daten und Kryptowährung Wallets entzieht.
Das Cybersicherheitsunternehmen Security Alliance, auch bekannt als SEAL, hat gewarnt, dass es mehrere tägliche Versuche im Zusammenhang mit diesen Kampagnen verfolgt.
Die Aktivität zeigt eine Verschiebung hin zu überzeugenderem, Echtzeit-Täuschung statt grobem Phishing.
Die Warnung folgt auf Enthüllungen der MetaMask-Sicherheitsforscherin Taylor Monahan, die das Muster genau beobachtet und das Ausmaß der bereits mit der Taktik verbundenen Verluste aufzeigt.
Die Methode basiert auf Vertrautheit, Vertrauen und Arbeitsplatzgewohnheiten, was sie besonders effektiv gegen Fachleute aus Krypto- und Technologiebranche macht, die regelmäßig Videokonferenz-Tools nutzen.
Wie der gefälschte Zoom-Betrug funktioniert
Der Angriff beginnt typischerweise auf Telegram, wo die Opfer eine Nachricht von einem Konto erhalten, das offenbar jemandem gehört, den sie bereits kennen. Die Angreifer zielen gezielt auf Kontakte mit vorhandenem Chatverlauf ab, was die Glaubwürdigkeit erhöht und den Verdacht senkt.
Sobald das Engagement beginnt, wird das Opfer über einen Calendly-Link dazu geführt, ein Treffen zu vereinbaren, was zu einem scheinbar legitimen Zoom-Call führt.
Als das Treffen beginnt, sieht das Opfer offenbar einen Live-Videofeed seines Kontakts und anderer Teammitglieder.
In Wirklichkeit sind die Aufnahmen vorab aufgenommen, keine KI-generierten Deepfakes.
Während des Anrufs behauptet der Angreifer, es gebe Audioprobleme, und schlägt vor, eine schnelle Lösung zu installieren.
Eine Datei wird im Chat geteilt und als Patch oder Softwareentwicklungskit-Update präsentiert, um die Klangklarheit wiederherzustellen.
Diese Datei enthält die Malware-Nutzlast. Nach der Installation erhält der Angreifer Fernzugriff auf das Gerät des Opfers.
Auswirkungen von Malware auf Krypto Wallets
Die bösartige Software ist oft ein Remote Access Trojaner. Nach der Installation extrahiert es stillschweigend sensible Informationen, darunter Passwörter, interne Sicherheitsdokumentation und private Schlüssel.
In kryptofokussierten Umgebungen kann dies zu einer vollständigen Leerung der Wallets führen, ohne dass es unmittelbare Anzeichen für Kompromittierung gibt.
Monahan hat auf X gewarnt , dass bereits mehr als 300 Millionen Dollar mit Varianten dieses Ansatzes gestohlen wurden und dass dieselben Bedrohungsakteure weiterhin gefälschte Zoom- und Teams-Meetings ausnutzen, um Nutzer zu kompromittieren.
SEAL hat die Besorgnis geäußert und auf die Häufigkeit und Konsistenz dieser Versuche im gesamten Kryptosektor hingewiesen.
Nordkoreas sich entwickelndes Cyber-Playbook
Nordkoreanische Hackergruppen werden seit langem mit finanziell motivierter Cyberkriminalität in Verbindung gebracht, wobei die Erlöse dem Regime zugeschrieben werden.
Gruppen wie Lazarus haben zuvor Börsen und Blockchain-Firmen durch direkte Exploits und Lieferkettenangriffe ins Visier genommen.
In jüngerer Zeit setzen diese Akteure stark auf Social Engineering.
In den letzten Monaten haben sie Krypto-Unternehmen mit gefälschten Bewerbungen und inszenierten Interviewverfahren infiltriert, die darauf ausgelegt sind, Malware zu verbreiten.
Im vergangenen Monat wurde Lazarus mit einem Datenbruch an Südkoreas größter Börse, Upbit, in Verbindung gebracht, der zu Verlusten von etwa 30,6 Millionen US-Dollar führte.
Die gefälschte Zoom-Taktik spiegelt eine breitere strategische Ausrichtung auf menschenzentrierte Angriffsvektoren wider, die technische Schutzmechanismen umgehen.
Was Experten sagen, was Nutzer tun sollten
Sicherheitsexperten warnen, dass nach der Ausführung einer bösartigen Datei die Geschwindigkeit eine Rolle spielt.
Im Falle eines Verdachts auf eine Infektion während eines Anrufs wird den Nutzern geraten , sofort das WLAN zu trennen und das Gerät auszuschalten, um die Datenexfiltration zu unterbrechen.
Die umfassendere Warnung lautet, unerwartete Meeting-Links, Software-Patches und dringende technische Anfragen mit äußerster Vorsicht zu behandeln, selbst wenn sie scheinbar von bekannten Kontakten stammen.
