SEAL warnt vor täglichen Fake-Zoom-Angriffen, da nordkoreanische Hacker bekannte Gesichter einsetzen
Das Cybersicherheitsunternehmen Security Alliance (SEAL) gab bekannt, dass es mehrere tägliche Angriffe, die sogenannten „Fake Zoom“ oder „Fake Teams“-Meetings, verfolgt. Diese werden von mit Nordkorea verbundenen Bedrohungsakteuren genutzt, um Malware zu verbreiten und Zugang zu neuen Opfern zu erlangen.
Die gemeinnützige Organisation veröffentlichte eine detaillierte Warnung des Sicherheitsforschers Taylor Monahan, der darlegt, wie die Angriffe ablaufen und in welchem Umfang Verluste zu beklagen sind.
Gefälschte Zoom-Anrufe, echte Verluste
Monahan said die Kampagne beginne mit einer Nachricht von einem kompromittierten Telegram-Konto, das einer Person gehört, die das Opfer bereits kennt. Diese Konten haben oft einen bestehenden Chat-Verlauf, was das Misstrauen senkt und zu einer Einladung führt, per Videoanruf über einen geteilten Link wieder in Kontakt zu treten.
Während des Anrufs werden den Opfern Personen gezeigt, die echt wirken, indem echte Aufnahmen von zuvor gehackten Konten oder öffentliches Material verwendet werden. Danach geben die Angreifer technische Probleme vor und bitten die Opfer, ein Update oder eine Korrektur anzuwenden.
Die bereitgestellte Datei oder der Befehl, oft getarnt als Update des Zoom-Software-Entwicklungskits (SDK), installiert Malware, die unauffällig das Gerät unter Mac, Windows und Linux-Systemen kompromittiert. Dadurch können Angreifer Kryptowährungs-Wallets, Passwörter, private Schlüssel, Seed-Phrasen, Cloud-Anmeldedaten und Telegram-Sitzungstoken stehlen.
Monahan wies darauf hin, dass bereits mehr als $300 Millionen mit dieser Methode gestohlen wurden, und die Angreifer oft den weiteren Kontakt verzögern, um nach der anfänglichen Infektion eine Entdeckung zu vermeiden. SEAL betont, dass soziale Ingenieurskunst zentral für die Kampagne ist, während die Opfer wiederholt beruhigt werden, wenn sie Bedenken äußern, und ermutigt werden, schnell vorzugehen, um die Zeit des vermeintlichen Kontakts nicht zu verschwenden.
Monahan warnte, dass Angreifer, sobald ein Gerät kompromittiert wurde, die Kontrolle über das Telegram-Konto des Opfers übernehmen und es nutzen, um Kontakte zu benachrichtigen und den Betrug zu wiederholen. Dies schafft einen Kaskadeneffekt in professionellen und sozialen Netzwerken.
Die Forscherin rief dazu auf, dass jeder, der auf einen verdächtigen Link geklickt hat, sofort die Internetverbindung trennen, das betroffene Gerät ausschalten und nicht mehr verwenden sollte. Des Weiteren sollten Gelder über ein anderes Gerät gesichert, Passwörter und Anmeldedaten geändert und der kompromittierte Computer komplett gelöscht werden, bevor er wiederverwendet wird. Sie betonte zudem die Notwendigkeit, Telegram zu sichern, indem alle anderen Sitzungen vom Telefon aus beendet, Passwörter aktualisiert und die Multi-Faktor-Authentifizierung aktiviert wird, um eine weitere Verbreitung zu verhindern.
Taktiken im Stil von Lazarus
Im vergangenen Jahr haben mehrere Plattformen flagged Phishing-Kampagnen mit gefälschten Zoom-Meeting-Links, um Millionen in Kryptowährung zu stehlen. Binance-Gründer Changpeng „CZ“ Zhao warned vor aufkommenden AI-Deepfake-Betrügereien, nachdem die Krypto-Influencerin Mai Fujimoto während eines gefälschten Zoom-Anrufs gehackt wurde. Angreifer nutzten eine Deepfake-Imitation und einen bösartigen Link, um Malware zu installieren, die ihren Telegram-, MetaMask- und X-Account kompromittierte.
Bitget-CEO Gracy Chen warned ebenfalls vor einer wachsenden Welle von Phishing-Angriffen mit gefälschten Zoom- und Microsoft Teams-Meeting-Einladungen, die auf Krypto-Experten abzielen. In der vergangenen Woche erklärte Chen, Angreifer würden sich als legitime Meeting-Gastgeber ausgeben und oft über Telegram oder gefälschte Calendly-Links mit Opfern Kontakt aufnehmen.
Während des Anrufs geben sie Audio- oder Verbindungsprobleme vor und drängen die Zielpersonen, ein vermeintliches Netzwerk-Update oder SDK herunterzuladen, das tatsächlich Malware ist, die Passwörter und private Schlüssel stiehlt. Chen erklärte, dass die Taktik Methoden der Lazarus-Gruppe ähnelt und erläuterte, dass Betrüger sich als Vertreter von Bitget ausgaben.
