Los actores de amenazas norcoreanos están nuevamente apuntando a desarrolladores y profesionales de criptomonedas utilizando videollamadas en vivo por Zoom para engañarlos e instalar malware.

Los hackers con base en Corea del Norte están utilizando cuentas de Telegram comprometidas y videos de IA deepfake para suplantar contactos conocidos y entregar cargas maliciosas, según el cofundador de BTC Prague, Martin Kuchař.

"Una campaña de hacking de alto nivel está apuntando actualmente a usuarios de Bitcoin y cripto. Me he visto personalmente afectado a través de una cuenta de Telegram comprometida", escribió Kuchař en X.

Según su publicación, las víctimas reciben una llamada de un contacto conocido, que originalmente es una cuenta de Telegram secuestrada tomada por atacantes. A través de estas llamadas en vivo, los actores maliciosos fingen ser el amigo de la víctima usando tecnología deepfake, mientras permanecen en silencio.

Este silencio actúa como el gancho, ya que la siguiente etapa del ataque implica convencer a la víctima de instalar un complemento o un archivo que supuestamente soluciona problemas de audio. En realidad, el archivo contiene malware, a menudo un troyano de acceso remoto, que otorga a los atacantes acceso completo al sistema una vez ejecutado.

Tan pronto como se obtiene el acceso, los atacantes pueden ver todos los contactos de Telegram y reutilizar la cuenta comprometida para contactar a la siguiente víctima de la misma manera.

"Informen a sus colegas y red inmediatamente. No se unan a ninguna llamada de Zoom/Teams no verificada", agregó Kuchař.

Los investigadores de seguridad de la empresa de ciberseguridad Huntress han observado que ataques similares han sido lanzados por TA444, un grupo de amenazas patrocinado por el estado norcoreano que opera bajo el notorio Lazarus Group.

Los hackers norcoreanos han drenado más de $300 millones 

Aunque no es un vector de ataque nuevo, los hackers norcoreanos ya han robado más de $300 millones utilizando técnicas similares, según advirtió el mes pasado el investigador de seguridad de MetaMask, Taylor Monahan.

Monahan advirtió que los atacantes a menudo dependen del historial de chat previo para aprender más sobre las víctimas antes de usarlo en su contra para ganar su confianza.

Los objetivos más comunes son aquellos profundamente arraigados en el espacio cripto, incluidos desarrolladores, personal de exchanges y ejecutivos de empresas. En un ejemplo de septiembre del año pasado, un ataque dirigido contra un ejecutivo de THORchain llevó a pérdidas de alrededor de $1.3 millones después de que una billetera de MetaMask fuera drenada sin ninguna solicitud del sistema o petición de aprobación del administrador.