Golpe falso do Zoom da Coreia do Norte se espalha rapidamente enquanto SEAL relata tentativas diárias

A SEAL Security Alliance afirmou que agora monitora várias tentativas diárias relacionadas ao golpe norte-coreano do falso Zoom.

O golpe de criptomoedas do falso Zoom utiliza um convite para reunião que parece normal. Em seguida, há um redirecionamento para o download de um arquivo que instala um malware.

A pesquisadora de segurança Taylor Monahan disse que o método já roubou mais de US$ 300 milhões. O alerta circulou com material creditado à SEAL Security Alliance.

Golpe Norte-Coreano do Falso Zoom. Fonte: Taylor Monahan via X

Golpe de Criptomoedas do Falso Zoom Começa com a Tomada de Conta no Telegram

O golpe norte-coreano do falso Zoom frequentemente começa no Telegram. Monahan disse que a primeira mensagem pode vir de uma conta reconhecida pelo alvo.

O chat então evolui para um plano de reunião no Zoom. Monahan afirmou que os atacantes enviam um link que parece legítimo. Ela disse que o link é “geralmente mascarado para parecer real”.

“Eles compartilham um link antes da chamada que geralmente é mascarado para parecer real,”

disse Monahan. Ela acrescentou que as vítimas podem ver “a pessoa + alguns colegas de seus parceiros” durante a chamada.

Monahan também abordou alegações sobre vídeos de IA.

“Esses vídeos não são deepfakes como amplamente divulgado,”

ela disse. “São gravações reais de quando eles foram hackeados ou de fontes públicas (podcasts).”

Link de Malware no Zoom Entrega Malware Através de um Arquivo “Patch”

Durante a chamada, Monahan disse que os atacantes simulam problemas de áudio. Em seguida, enviam um arquivo “patch” para supostamente corrigir o problema.

O link de malware do Zoom e o arquivo “patch” estão no centro do golpe de criptomoedas do falso Zoom. Monahan afirmou que abrir o arquivo infecta o dispositivo.

Depois disso, Monahan disse que os atacantes encerram a chamada e agem com calma. “Infelizmente, seu computador já está comprometido,” ela disse. “Eles apenas fingem normalidade para evitar detecção.”

Monahan afirmou que o malware permite o roubo de carteiras de criptomoedas, além de roubo de senhas e chaves privadas. Ela também disse que os atacantes visam “sua conta do Telegram”.

Tomada de Conta no Telegram Ajuda a Expandir o Golpe Norte-Coreano do Falso Zoom

Monahan disse que a tomada de conta no Telegram ajuda a espalhar o golpe norte-coreano do falso Zoom.

Ela afirmou que os atacantes usam contas do Telegram comprometidas para alcançar contatos salvos. Esse acesso gera novos alvos para o mesmo padrão de phishing de criptomoedas via Zoom.

Monahan descreveu o efeito na rede da vítima de forma direta. “Então você vai acabar prejudicando todos os seus amigos,” ela disse, após descrever o comprometimento da conta do Telegram.

“Por fim, se eles hackearem seu Telegram, você precisa AVISAR TODO MUNDO O MAIS RÁPIDO POSSÍVEL,” disse Monahan. “Você está prestes a hackear seus amigos. Por favor, deixe o orgulho de lado e GRITE sobre isso.”

Taylor Monahan Lista Passos Após Clicar em Link de Malware no Zoom

Monahan descreveu o que as vítimas relataram fazer após clicar em um link de malware do Zoom durante o golpe norte-coreano do falso Zoom.

Ela disse que as pessoas devem se desconectar do Wi-Fi e desligar o dispositivo afetado. Depois, devem usar outro dispositivo para mover fundos, trocar senhas e ativar a autenticação em dois fatores onde disponível.

Ela também descreveu uma “formatação completa da memória” antes de usar novamente o dispositivo infectado. Monahan detalhou ainda etapas de segurança para a conta do Telegram, incluindo checar sessões de dispositivos, encerrar outras sessões e atualizar os controles de autenticação.

Monahan classificou a proteção do Telegram como “crítica” porque os atacantes usam a tomada de conta do Telegram para continuar a cadeia do golpe de criptomoedas do falso Zoom.