- Penipuan ini bergantung pada peniruan identitas Telegram dan panggilan video yang direkam sebelumnya untuk membangun kepercayaan.
- Malware dikirimkan sebagai audio palsu atau patch SDK selama rapat.
- Aliansi Keamanan mengatakan pihaknya melacak beberapa upaya semacam itu setiap hari.
Penjahat dunia maya Korea Utara meningkatkan serangan rekayasa sosial dengan mengeksploitasi rapat Zoom dan Teams palsu untuk menyebarkan malware yang menguras data sensitif dan dompet mata uang kripto.
Perusahaan keamanan siber Security Alliance, juga dikenal sebagai SEAL, telah memperingatkan bahwa mereka melacak beberapa upaya harian yang terkait dengan kampanye ini.
Aktivitas ini menyoroti pergeseran ke arah penipuan real-time yang lebih meyakinkan daripada phishing kasar.
Peringatan itu mengikuti pengungkapan oleh peneliti keamanan MetaMask Taylor Monahan, yang telah memantau pola tersebut dengan cermat dan menandai skala kerugian yang sudah terkait dengan taktik tersebut.
Metode ini bergantung pada keakraban, kepercayaan, dan kebiasaan di tempat kerja, membuatnya sangat efektif terhadap para profesional di bidang kripto dan teknologi yang secara teratur menggunakan alat konferensi video.
Cara kerja penipuan Zoom palsu
Serangan biasanya dimulai di Telegram, di mana korban menerima pesan dari akun yang tampaknya milik seseorang yang sudah mereka kenal. Penyerang secara khusus menargetkan kontak dengan riwayat obrolan yang ada, meningkatkan kredibilitas dan menurunkan kecurigaan.
Setelah keterlibatan dimulai, korban dipandu untuk menjadwalkan pertemuan melalui tautan Calendly, yang mengarah ke apa yang terlihat seperti panggilan Zoom yang sah.
Saat rapat dibuka, korban melihat apa yang tampak seperti umpan video langsung dari kontak mereka dan anggota tim lainnya.
Pada kenyataannya, rekaman tersebut direkam sebelumnya, bukan deepfake yang dihasilkan AI.
Selama panggilan, penyerang mengklaim ada masalah audio dan menyarankan untuk menginstal perbaikan cepat.
File dibagikan dalam obrolan dan disajikan sebagai patch atau pembaruan kit pengembangan perangkat lunak untuk mengembalikan kejernihan suara.
File tersebut berisi muatan malware. Setelah diinstal, ini memberi penyerang akses jarak jauh ke perangkat korban.
Dampak malware pada dompet kripto
Perangkat lunak berbahaya seringkali merupakan Trojan Akses Jarak Jauh. Setelah instalasi, secara diam-diam mengekstrak informasi sensitif, termasuk kata sandi, dokumentasi keamanan internal, dan kunci pribadi.
Dalam lingkungan yang berfokus pada kripto, ini dapat menghasilkan drainase dompet lengkap dengan sedikit indikasi kompromi langsung.
Monahan telah memperingatkan di X bahwa lebih dari $ 300 juta telah dicuri menggunakan variasi pendekatan ini, dan bahwa pelaku ancaman yang sama terus mengeksploitasi rapat Zoom dan Teams palsu untuk membahayakan pengguna.
SEAL telah menggemakan keprihatinan tersebut, mencatat frekuensi dan konsistensi upaya ini di seluruh sektor kripto.
Buku pedoman siber Korea Utara yang berkembang
Kelompok peretas Korea Utara telah lama dikaitkan dengan kejahatan dunia maya bermotivasi keuangan, dengan hasil yang diyakini mendukung rezim.
Kelompok seperti Lazarus sebelumnya telah menargetkan bursa dan perusahaan blockchain melalui eksploitasi langsung dan serangan rantai pasokan.
Baru-baru ini, para aktor ini sangat condong ke rekayasa sosial.
Dalam beberapa bulan terakhir, mereka telah menyusup ke perusahaan kripto menggunakan lamaran pekerjaan palsu dan proses wawancara bertahap yang dirancang untuk mengirimkan malware.
Bulan lalu, Lazarus dikaitkan dengan pelanggaran di bursa terbesar Korea Selatan, Upbit, yang mengakibatkan kerugian sekitar $ 30,6 juta .
Taktik Zoom palsu mencerminkan poros strategis yang lebih luas menuju vektor serangan yang berpusat pada manusia yang melewati perlindungan teknis.
Apa yang menurut para ahli harus dilakukan pengguna
Pakar keamanan memperingatkan bahwa begitu file berbahaya dieksekusi, kecepatan itu penting.
Jika terjadi dugaan infeksi selama panggilan, pengguna disarankan untuk segera memutuskan sambungan dari WiFi dan mematikan perangkat untuk mengganggu eksfiltrasi data.
Peringatan yang lebih luas adalah memperlakukan tautan rapat yang tidak terduga, tambalan perangkat lunak, dan permintaan teknis mendesak dengan sangat hati-hati, bahkan ketika tampaknya berasal dari kontak yang dikenal.
