شرکت امنیت سایبری Security Alliance (SEAL) اعلام کرد که روزانه چندین تلاش از سوی عوامل تهدید وابسته به کره شمالی را رصد میکند که با استفاده از جلسات جعلی «Zoom» یا «Teams» اقدام به توزیع بدافزار و گسترش دسترسی به قربانیان جدید میکنند.
این سازمان غیرانتفاعی هشدار مفصل پژوهشگر امنیتی، تیلور موناگان، را بازنشر کرده است که نحوه اجرای این حملات و میزان خسارات وارده را تشریح میکند.
تماسهای جعلی Zoom، خسارات واقعی
موناگان توضیح داد که این کمپین با پیامی از یک حساب تلگرام هکشده که متعلق به فردی آشنا برای قربانی است آغاز میشود. معمولاً سابقه گفتوگوهای قبلی نیز حفظ شده تا شک قربانی کمتر شود و سپس دعوت به برقراری تماس تصویری از طریق یک لینک ارسالشده صورت میگیرد.
در طول تماس، قربانیان افرادی را مشاهده میکنند که به نظر میرسد شرکتکنندگان واقعی هستند؛ اما این تصاویر در واقع از حسابهای قبلاً هکشده یا منابع عمومی جمعآوری شدهاند و از فناوری دیپفیک استفاده نمیشود. سپس مهاجمان با ادعای بروز مشکل فنی، از قربانی میخواهند که یک بهروزرسانی یا اصلاحیه را نصب کند.
فایل یا دستوری که ارائه میشود، معمولاً به عنوان بهروزرسانی کیت توسعه نرمافزار (SDK) Zoom معرفی میشود، اما در واقع بدافزاری است که دستگاه را در سیستمعاملهای مک، ویندوز و لینوکس آلوده میکند. این بدافزار به مهاجمان امکان میدهد کیف پولهای رمز ارز، گذرواژهها، کلیدهای خصوصی، عبارات بازیابی، اطلاعات ورود به فضای ابری و توکنهای نشست تلگرام را سرقت کنند.
او اعلام کرد که تاکنون بیش از ۳۰۰ میلیون دلار از این طریق به سرقت رفته است و مهاجمان معمولاً پس از آلودهسازی اولیه، برای جلوگیری از شناسایی، مدتی با قربانی تماس نمیگیرند. SEAL تأکید کرد که مهندسی اجتماعی نقش محوری در این حملات دارد و قربانیان در صورت ابراز نگرانی، بارها اطمینان خاطر دریافت میکنند و تشویق میشوند سریعتر عمل کنند تا وقت فرد ظاهراً آشنا تلف نشود.
موناگان هشدار داد که پس از آلوده شدن دستگاه، مهاجمان کنترل حساب تلگرام قربانی را به دست میگیرند و با مخاطبان او تماس میگیرند تا همین کلاهبرداری را تکرار کنند. این موضوع باعث گسترش زنجیرهای حمله در شبکههای حرفهای و اجتماعی میشود.
این پژوهشگر توصیه کرد هر کسی که روی لینک مشکوکی کلیک کرده است، فوراً اتصال اینترنت را قطع کند، دستگاه آلوده را خاموش کرده و دیگر از آن استفاده نکند، داراییهای خود را با دستگاهی دیگر ایمن کند، گذرواژهها و اطلاعات ورود را تغییر دهد و پیش از استفاده مجدد، کامپیوتر آلوده را به طور کامل پاکسازی کند. همچنین تأکید کرد که برای ایمنسازی تلگرام باید همه نشستهای دیگر را از طریق تلفن خاتمه داد، گذرواژهها را بهروزرسانی کرد و احراز هویت چندمرحلهای را فعال نمود تا از گسترش بیشتر جلوگیری شود.
تاکتیکهای مشابه گروه لازاروس
در سال گذشته، چندین پلتفرم کمپینهای فیشینگ با استفاده از لینکهای جعلی جلسات Zoom را شناسایی کردند که میلیونها دلار رمز ارز را به سرقت بردهاند. چانگپنگ ژائو، بنیانگذار بایننس، نسبت به افزایش کلاهبرداریهای دیپفیک مبتنی بر هوش مصنوعی هشدار داد، پس از آنکه اینفلوئنسر رمز ارز، مای فوجیموتو، در جریان یک تماس جعلی Zoom هک شد. مهاجمان با جعل هویت و ارسال لینک مخرب، بدافزاری نصب کردند که حسابهای تلگرام، MetaMask و X او را به خطر انداخت.
گریسی چن، مدیرعامل Bitget نیز نسبت به موج رو به رشد حملات فیشینگ با دعوتنامههای جعلی جلسات Zoom و Microsoft Teams که متخصصان حوزه رمز ارز را هدف قرار میدهد، هشدار داد. او گفت مهاجمان خود را به عنوان میزبانان واقعی جلسات معرفی میکنند و معمولاً از طریق تلگرام یا لینکهای جعلی Calendly با قربانیان تماس میگیرند.
در طول تماس، آنها با ادعای وجود مشکل صوتی یا ارتباطی، قربانی را به دانلود یک بهروزرسانی شبکه یا SDK تشویق میکنند که در واقع بدافزاری برای سرقت گذرواژهها و کلیدهای خصوصی است. چن گفت این روش مشابه تاکتیکهای گروه لازاروس است و توضیح داد که کلاهبرداران حتی خود را به جای نمایندگان Bitget جا زدهاند.
منبع: لینک خبر
