- 詐騙利用Telegram冒充和預錄視訊通話來建立信任。
- 惡意軟體會在會議中以假音訊或 SDK 修補程式的形式發佈。
- Security Alliance表示,他們每天都在追蹤多起此類嘗試。
北韓網路犯罪分子正利用假Zoom和Teams會議部署惡意軟體,竊取敏感資料和加密貨幣錢包,升級社會工程攻擊。
資安公司Security Alliance(簡稱 SEAL)警告 ,他們正在追蹤與這些行動相關的多次每日嘗試。
此舉凸顯出向更具說服力、即時欺騙的轉變,而非粗糙的網路釣魚。
此警告是在 MetaMask 安全研究員 Taylor Monahan 揭露此事之後發布的,她一直密切監控該模式,並指出該策略已帶來的龐大損失。
此方法依賴熟悉度、信任與職場習慣,對經常使用視訊會議工具的加密與科技專業人士特別有效。
假 Zoom 詐騙的運作方式
攻擊通常從 Telegram 開始,受害者會收到一則看似屬於他們已認識某人的帳號訊息。攻擊者特別針對已有聊天紀錄的聯絡人,提升可信度並降低懷疑。
一旦互動開始,受害者會被引導透過 Calendly 連結預約會面,這會引導到看似合法的 Zoom 通話。
會議開始時,受害者看到一段看似其聯絡人及其他團隊成員的即時影像。
事實上,這些影像是預先錄製的,而非 AI 生成的深度偽造。
通話中,攻擊者聲稱有音訊問題,並建議安裝快速修復方案。
聊天室會分享一個檔案,並以修補程式或軟體開發套件更新的形式呈現,以恢復音質清晰度。
那個檔案裡有惡意軟體的有效載荷。安裝後,攻擊者能遠端存取受害者的裝置。
惡意軟體對加密錢包的影響
惡意軟體通常是遠端存取木馬。安裝後,它會悄悄擷取敏感資訊,包括密碼、內部安全文件及私鑰。
在以加密貨幣為主的環境中,這可能導致錢包完全流失,且幾乎沒有立即的入侵跡象。
Monahan 在 X 上警告 ,已有超過 3 億美元被這種手法的變體竊取,且同一批威脅者持續利用假 Zoom 和 Teams 會議來危害用戶。
SEAL也表達了同樣的擔憂,指出這類嘗試在加密領域中頻繁且持續發生。
北韓不斷演變的網路策略手冊
北韓駭客集團長期以來與財務動機的網路犯罪有關,據信其收益支持政權。
像 Lazarus 這樣的團體過去曾透過直接利用漏洞和供應鏈攻擊來針對交易所和區塊鏈公司。
近年來,這些行動者更大量運用社會工程。
近幾個月來,他們透過假求職申請滲透加密公司,並安排面試流程以散播惡意軟體。
上個月,Lazarus 被指控與南韓最大交易所 Upbit 的資安事件有關,該事件導致 約 3,060 萬美元的損失 。
假 Zoom 策略反映了更廣泛的策略轉向以人為中心、繞過技術防護的攻擊途徑。
專家建議用戶應該做什麼
資安專家警告,一旦惡意檔案被執行,速度就很重要。
若通話中疑似感染, 建議用戶 立即斷開 WiFi 並關機,以中斷資料外洩。
更廣泛的警告是,對於突發會議連結、軟體修補程式及緊急技術請求,即使看似來自已知聯絡人,也應格外謹慎。
