Группы хакеров, связанные с Северной Кореей, включая печально известный Lazarus Group, активно используют новую схему социальной инженерии для хищения криптовалют. По данным исследователя безопасности MetaMask Тейлора Монахан (Tayvano), с помощью тактики «фейковых Zoom-встреч» уже похищено более $300 млн. Аналитики кибербезопасности из Security Alliance (SEAL) фиксируют множественные ежедневные попытки атак по этой схеме.
Атака начинается с компрометации аккаунта жертвы в Telegram, часто принадлежащего венчурному капиталисту или знакомому из профессиональной среды. Злоумышленники используют историю переписки для создания доверия, после чего приглашают жертву на видеовстречу в Zoom или Microsoft Teams через ссылку, замаскированную под Calendly. Во время «встречи» демонстрируется запись реального интервью или публичного выступления знакомого человека, выдаваемая за живой эфир.
Затем злоумышленник имитирует технические неполадки со звуком или видео и просит жертву скачать «патч» или обновить SDK для восстановления связи. Передаваемый файл содержит вредоносное ПО, чаще всего троян удаленного доступа (RAT). После установки программа предоставляет хакерам полный контроль, позволяя похищать приватные ключи, опустошать криптокошельки и перехватывать токены сессий Telegram для последующих атак.
Эксперты подчеркивают, что эта схема использует «профессиональную вежливость» и психологическое давление от формата деловой встречи, что заставляет жертв терять бдительность. Монахан призывает рассматривать любые просьбы скачать ПО во время видеозвонка как прямой сигнал об атаке.
Данная кампания является частью масштабного наступления северокорейских хакеров на криптоиндустрию. Только за последний год они похитили около $2 млрд, включая недавний инцидент с южнокорейской биржей Upbit, где было украдено $30,6 млн. Общий объем криптокраж в мире к середине 2025 года достиг $2,17 млрд.
Специалисты по безопасности рекомендуют в случае подозрения на компрометацию немедленно отключаться от Wi-Fi, выключать компьютер, переводить средства на новые защищенные аппаратные кошельки или аккаунты на централизованных биржах, менять все пароли и полностью переустанавливать операционную систему.
