Hacker Nordcoreani Rubano $300M con Finti Meeting Crypto
Cybercriminali legati alla Corea del Nord hanno sottratto oltre 300 milioni di dollari al settore crypto usando falsi meeting video, account Telegram compromessi e malware avanzato.
I cybercriminali della Corea del Nord hanno messo in atto un sofisticato cambio di strategia nelle loro campagne di ingegneria sociale, riuscendo a rubare oltre 300 milioni di dollari impersonando figure fidate del settore in falsi incontri video.
Questo allarme, dettagliato dalla ricercatrice di sicurezza di MetaMask, Taylor Monahan (nota come Tayvano), delinea una complessa "truffa a lungo termine" (long-con) che prende di mira i dirigenti del mondo crypto.
L'Esca: Account Telegram Dirottati e Falsi Contatti
Secondo Monahan, la campagna segna un allontanamento dai recenti attacchi che facevano affidamento sui deepfake con intelligenza artificiale. Invece, utilizza un approccio più diretto, basato sul dirottamento di account Telegram e sull'uso di filmati in loop riciclati da interviste reali.
Gli attori di minacce della DPRK stanno ancora fregando troppi di voi tramite le loro finte riunioni su Zoom / Teams," ha detto Monahan su X
🚨 WARNING (AGAIN)
DPRK threat actors are still rekting way too many of you via their fake Zoom / fake Teams meets.
They're taking over your Telegrams -> using them to rekt all your friends.
They've stolen over $300m via this method already.
L'attacco inizia tipicamente dopo che gli hacker ottengono il controllo di un account Telegram fidato, spesso appartenente a un venture capitalist o a una persona che la vittima ha incontrato in precedenza a una conferenza. Gli aggressori sfruttano quindi la cronologia delle chat precedenti per apparire legittimi, guidando la vittima a una videochiamata su Zoom o Microsoft Teams tramite un link Calendly mascherato.
La Messa in Scena: Filmati Riciclati e Finti Problemi Tecnici
Una volta avviata la riunione, la vittima visualizza ciò che sembra essere un feed video in diretta del proprio contatto. In realtà, si tratta spesso di una registrazione riciclata da un podcast o da un'apparizione pubblica.
Il momento decisivo arriva in genere a seguito di un problema tecnico simulato. Dopo aver citato problemi audio o video, l'aggressore esorta la vittima a ristabilire la connessione scaricando uno script specifico o aggiornando un Software Development Kit (SDK). Il file consegnato a quel punto contiene il payload malevolo.
Il Colpo Finale e il Ruolo del RAT
Una volta installato, il malware—spesso un Remote Access Trojan (RAT)—concede all'aggressore il controllo totale sul sistema. Il RAT drena i wallet di criptovaluta ed esfiltra dati sensibili, inclusi i protocolli di sicurezza interni e i token di sessione di Telegram, che vengono poi utilizzati per colpire la vittima successiva nella rete.
Monahan ha avvertito che questo specifico vettore "arma la cortesia professionale". Gli hacker fanno affidamento sulla pressione psicologica di una "riunione di lavoro" per forzare un errore di giudizio, trasformando una richiesta di troubleshooting di routine in una fatale violazione della sicurezza. Per i partecipanti al settore, qualsiasi richiesta di scaricare software durante una chiamata è ora considerata un segnale di attacco attivo.
Questa strategia di "falsi incontri" rientra in una più ampia offensiva da parte degli attori della Repubblica Popolare Democratica di Corea (DPRK), che nell'ultimo anno hanno sottratto una cifra stimata di 2 miliardi di dollari dal settore, compresa la violazione di Bybit.
Un attacco “infinite-mint” ha colpito yETH di Yearn Finance, drenando 2,8 milioni dai pool di Balancer e attivando un’anomala reazione di mercato sul token YFI.
I cybercriminali della Corea del Nord hanno messo in atto un sofisticato cambio di strategia nelle loro campagne di ingegneria sociale, riuscendo a rubare oltre 300 milioni di dollari impersonando figure fidate del settore in falsi incontri video.
Questo allarme, dettagliato dalla ricercatrice di sicurezza di MetaMask, Taylor Monahan (nota come Tayvano), delinea una complessa "truffa a lungo termine" (long-con) che prende di mira i dirigenti del mondo crypto.
L'Esca: Account Telegram Dirottati e Falsi Contatti
Secondo Monahan, la campagna segna un allontanamento dai recenti attacchi che facevano affidamento sui deepfake con intelligenza artificiale. Invece, utilizza un approccio più diretto, basato sul dirottamento di account Telegram e sull'uso di filmati in loop riciclati da interviste reali.
L'attacco inizia tipicamente dopo che gli hacker ottengono il controllo di un account Telegram fidato, spesso appartenente a un venture capitalist o a una persona che la vittima ha incontrato in precedenza a una conferenza. Gli aggressori sfruttano quindi la cronologia delle chat precedenti per apparire legittimi, guidando la vittima a una videochiamata su Zoom o Microsoft Teams tramite un link Calendly mascherato.
La Messa in Scena: Filmati Riciclati e Finti Problemi Tecnici
Una volta avviata la riunione, la vittima visualizza ciò che sembra essere un feed video in diretta del proprio contatto. In realtà, si tratta spesso di una registrazione riciclata da un podcast o da un'apparizione pubblica.
Il momento decisivo arriva in genere a seguito di un problema tecnico simulato. Dopo aver citato problemi audio o video, l'aggressore esorta la vittima a ristabilire la connessione scaricando uno script specifico o aggiornando un Software Development Kit (SDK). Il file consegnato a quel punto contiene il payload malevolo.
Il Colpo Finale e il Ruolo del RAT
Una volta installato, il malware—spesso un Remote Access Trojan (RAT)—concede all'aggressore il controllo totale sul sistema. Il RAT drena i wallet di criptovaluta ed esfiltra dati sensibili, inclusi i protocolli di sicurezza interni e i token di sessione di Telegram, che vengono poi utilizzati per colpire la vittima successiva nella rete.
Monahan ha avvertito che questo specifico vettore "arma la cortesia professionale". Gli hacker fanno affidamento sulla pressione psicologica di una "riunione di lavoro" per forzare un errore di giudizio, trasformando una richiesta di troubleshooting di routine in una fatale violazione della sicurezza. Per i partecipanti al settore, qualsiasi richiesta di scaricare software durante una chiamata è ora considerata un segnale di attacco attivo.
Questa strategia di "falsi incontri" rientra in una più ampia offensiva da parte degli attori della Repubblica Popolare Democratica di Corea (DPRK), che nell'ultimo anno hanno sottratto una cifra stimata di 2 miliardi di dollari dal settore, compresa la violazione di Bybit.
Leggi il prossimo
Hack su WeChat coinvolge la cofondatrice di Binance
L’account WeChat della cofondatrice di Binance è stato hackerato per spingere la meme coin Mubarakah in uno schema pump-and-dump.
Exploit su Yearn Finance: attacco yETH da 2,8 milioni
Un attacco “infinite-mint” ha colpito yETH di Yearn Finance, drenando 2,8 milioni dai pool di Balancer e attivando un’anomala reazione di mercato sul token YFI.
Hack Upbit da 32 Milioni: Token Solana alle Stelle sul Mercato Coreano!
Upbit sospende depositi e prelievi dopo un attacco hacker che sottrae 32 milioni in token Solana, causando forti premi sul mercato coreano.
Rapina crypto in UK: condanne e rischio self-custody
Una rapina da oltre 4,3 milioni in criptovalute nel Regno Unito mette in discussione la sicurezza della self-custody e i rischi del fattore umano.