Северокорейские хакеры украли $300 млн с помощью фальшивых криптовалютных встреч
Киберпреступники, связанные с Северной Кореей, похитили более $300 млн из криптовалютного сектора, используя фальшивые видеовстречи, взломанные аккаунты Telegram и продвинутое вредоносное ПО.
Северокорейские киберпреступники изменили стратегию своих социально-инженерных кампаний, сумев похитить более 300 миллионов долларов, выдавая себя за доверенных деятелей индустрии в поддельных видеовстречах.
В этом оповещении, подробно описанном исследователем безопасности MetaMask Тейлором Монаханом (Taylor Monahan) (известным как Tayvano), рассказывается о сложной "длинной афере" (long-con), направленной на руководителей криптовалютных компаний.
Приманка: взломанные аккаунты Telegram и поддельные контакты
По словам Монахана, эта кампания представляет собой отход от недавних атак, которые опирались на глубокие подделки с помощью искусственного интеллекта. Вместо этого используется более прямой подход, основанный на захвате аккаунтов Telegram и использовании зацикленных кадров, переработанных из реальных интервью.
"Угрожающие КНДР лица по-прежнему обманывают слишком многих из вас с помощью своих фальшивых встреч на Zoom/Teams, - сказал он сказал Монахан в эфире X
🚨 WARNING (AGAIN)
Актеры угрозы КНДР по-прежнему обдирают слишком многих из вас через свои фальшивые встречи на Zoom / фальшивые встречи в командах.
Они захватывают ваши Telegram -> используют их для того, чтобы наказывать всех ваших друзей.
Этим способом они уже украли более 300 миллионов долларов.
Атака обычно начинается после того, как хакеры получают контроль над доверенным аккаунтом Telegram, часто принадлежащим венчурному капиталисту или человеку, с которым жертва ранее познакомилась на конференции. Затем злоумышленники используют историю предыдущих чатов для создания видимости законности, направляя жертву на видеозвонок в Zoom или Microsoft Teams через замаскированную ссылку календаря.
Подготовка: повторно используемые видео и поддельные технические проблемы
После начала встречи жертва просматривает, как ей кажется, канал живого видео с ее собеседником. На самом деле это зачастую переработанная запись из подкаста или публичного выступления.
Решающий момент обычно наступает после имитации технических проблем. Сославшись на проблемы со звуком или видео, злоумышленник призывает жертву восстановить соединение, загрузив определенный скрипт или обновив комплект для разработки программного обеспечения (SDK). Файл, передаваемый в этот момент, содержит вредоносную загрузку.
Финальный удар и роль RAT
После установки вредоносное ПО - часто это троянцы удаленного доступа (RAT) - дает злоумышленнику полный контроль над системой. RAT опустошает криптовалютные кошельки и выводит конфиденциальные данные, включая внутренние протоколы безопасности и токены Telegram-сессий, которые затем используются для нападения на следующую жертву в сети.
Монахан предупредил, что этот специфический носитель "вооружает профессиональную вежливость". Хакеры полагаются на психологическое давление "деловой встречи", чтобы заставить совершить ошибку в суждениях, превратив устранение неполадок, запрос программ в фатальное нарушение безопасности. Для участников индустрии любой запрос на загрузку программного обеспечения во время разговора теперь считается активным сигналом атаки.
Эта стратегия "фальшивых встреч" является частью более широкого наступления со стороны агентов КНДР, которые за последний год присвоили около 2 миллиардов долларов из индустрии, включая взлом Bybit.
Хакеру удалось взломать аккаунт WeChat соучредителя Binance И Хэ, чтобы организовать схему "pump-and-dump" с токеном Mubarakah, которая принесла около 55 000 долларов прибыли.
Компания Yearn Finance подтвердила наличие активного эксплойта, затронувшего ее продукт yETH, поздно вечером в воскресенье. Инцидент произошел после того, как злоумышленнику удалось намайнить фактически неограниченное количество yETH, в результате чего ликвидность из пулов Balancer была выведена.
Инцидент вызвал интенсивное движение на цепочке, включая несколько транзакций по 100 ETH, проведенных через
Северокорейские киберпреступники изменили стратегию своих социально-инженерных кампаний, сумев похитить более 300 миллионов долларов, выдавая себя за доверенных деятелей индустрии в поддельных видеовстречах.
В этом оповещении, подробно описанном исследователем безопасности MetaMask Тейлором Монаханом (Taylor Monahan) (известным как Tayvano), рассказывается о сложной "длинной афере" (long-con), направленной на руководителей криптовалютных компаний.
Приманка: взломанные аккаунты Telegram и поддельные контакты
По словам Монахана, эта кампания представляет собой отход от недавних атак, которые опирались на глубокие подделки с помощью искусственного интеллекта. Вместо этого используется более прямой подход, основанный на захвате аккаунтов Telegram и использовании зацикленных кадров, переработанных из реальных интервью.
Атака обычно начинается после того, как хакеры получают контроль над доверенным аккаунтом Telegram, часто принадлежащим венчурному капиталисту или человеку, с которым жертва ранее познакомилась на конференции. Затем злоумышленники используют историю предыдущих чатов для создания видимости законности, направляя жертву на видеозвонок в Zoom или Microsoft Teams через замаскированную ссылку календаря.
Подготовка: повторно используемые видео и поддельные технические проблемы
После начала встречи жертва просматривает, как ей кажется, канал живого видео с ее собеседником. На самом деле это зачастую переработанная запись из подкаста или публичного выступления.
Решающий момент обычно наступает после имитации технических проблем. Сославшись на проблемы со звуком или видео, злоумышленник призывает жертву восстановить соединение, загрузив определенный скрипт или обновив комплект для разработки программного обеспечения (SDK). Файл, передаваемый в этот момент, содержит вредоносную загрузку.
Финальный удар и роль RAT
После установки вредоносное ПО - часто это троянцы удаленного доступа (RAT) - дает злоумышленнику полный контроль над системой. RAT опустошает криптовалютные кошельки и выводит конфиденциальные данные, включая внутренние протоколы безопасности и токены Telegram-сессий, которые затем используются для нападения на следующую жертву в сети.
Монахан предупредил, что этот специфический носитель "вооружает профессиональную вежливость". Хакеры полагаются на психологическое давление "деловой встречи", чтобы заставить совершить ошибку в суждениях, превратив устранение неполадок, запрос программ в фатальное нарушение безопасности. Для участников индустрии любой запрос на загрузку программного обеспечения во время разговора теперь считается активным сигналом атаки.
Эта стратегия "фальшивых встреч" является частью более широкого наступления со стороны агентов КНДР, которые за последний год присвоили около 2 миллиардов долларов из индустрии, включая взлом Bybit.
Читать далее
Взлом WeChat с участием сооснователя Binance
Хакеру удалось взломать аккаунт WeChat соучредителя Binance И Хэ, чтобы организовать схему "pump-and-dump" с токеном Mubarakah, которая принесла около 55 000 долларов прибыли.
Эксплойт на Yearn Finance: атака на 2,8 миллиона yETH
Компания Yearn Finance подтвердила наличие активного эксплойта, затронувшего ее продукт yETH, поздно вечером в воскресенье. Инцидент произошел после того, как злоумышленнику удалось намайнить фактически неограниченное количество yETH, в результате чего ликвидность из пулов Balancer была выведена. Инцидент вызвал интенсивное движение на цепочке, включая несколько транзакций по 100 ETH, проведенных через
Взлом Upbit на 32 миллиона: Токен Solana для звезд на корейском рынке!
Южнокорейские криптовалютные рынки потрясло драматическое и неожиданное событие.
Ограбление криптовалюты в Великобритании: приговоры и риск самосохранения
Ограбление криптовалюты на сумму более $4,3 млн в Великобритании ставит под сомнение безопасность самоохраны и риски человеческого фактора.