Киберпреступные группировки из КНДР изменили тактику атак, активно используя методы социальной инженерии. Согласно последним данным, злоумышленники похитили более $300 млн, выдавая себя за доверенных лиц во время поддельных видеоконференций.

Предупреждение о новой схеме опубликовала Тейлор Монахан, ведущий исследователь безопасности MetaMask. По её словам, основными целями долгосрочной мошеннической кампании становятся руководители криптовалютных компаний и инвестиционных фондов.

Как работает схема
Эксперты отмечают, что текущая кампания отличается от предыдущих атак с применением дипфейков. В данном случае хакеры используют более прагматичный подход — взлом аккаунтов в Telegram.

После захвата учётной записи венчурного инвестора или публичного лица преступники продолжают переписку, чтобы укрепить доверие, и приглашают жертву на Zoom- или Teams-звонок. Ссылка маскируется под календарное приглашение.

Во время видеозвонка демонстрируется запись, имитирующая живое изображение собеседника. На самом деле это зацикленные фрагменты старых выступлений или подкастов.

Внедрение вредоносного ПО
Ключевой этап атаки наступает при имитации технических неполадок. Хакеры убеждают жертву «восстановить соединение» — загрузить скрипт или обновить SDK. В файле скрыта вредоносная нагрузка: вирус удалённого доступа (RAT), который даёт полный контроль над системой.

После установки RAT преступники получают возможность выводить активы из криптокошельков и похищать конфиденциальные данные.

Психологическое давление Монахан подчёркивает, что злоумышленники используют деловой этикет и профессиональную атмосферу как инструмент давления. В условиях «рабочей встречи» жертвы теряют бдительность, что превращает обычную просьбу в критическую брешь безопасности.

Масштаб угрозы Эта стратегия является частью широкой активности северокорейских группировок. За последний год общий ущерб в секторе цифровых активов превысил $2 млрд. Одним из крупнейших инцидентов остаётся взлом криптобиржи Bybit.