Хакеры, связанные с Северной Кореей, используют поддельные звонки в Zoom для опустошения криптокошельков, что, по словам исследователей безопасности, стало почти ежедневной угрозой для криптовалютного сообщества. Согласно нескольким отчетам о безопасности, кампания уже принесла около 300 миллионов долларов украденных средств и не показывает признаков замедления.
Поддельные встречи в Zoom используются для опустошения кошельков
По данным Security Alliance (SEAL) и других исследователей, злоумышленники сначала связываются с целями через такие мессенджеры, как Telegram. Затем они приглашают жертв на видеозвонок, который выглядит легитимным.
Во время звонка мошенники утверждают, что есть проблема со звуком или видео, и предлагают «исправление» — файл или ссылку, которые выглядят как официальное обновление. Когда жертва запускает файл, устанавливается вредоносное ПО, которое начинает красть учетные данные, данные браузера и криптоключи.
Несколько атак регистрируется каждый день, и многие следуют одной и той же схеме. Исследователи говорят, что эти постановочные звонки позволяют злоумышленникам обойти обычную осторожность, потому что люди склонны доверять тому, кого видят на камеру.
SEAL отслеживает несколько ЕЖЕДНЕВНЫХ попыток северокорейских акторов использовать тактику «Фальшивого Zoom» для распространения вредоносного ПО, а также для расширения доступа к новым жертвам.
В основе атаки лежит социальная инженерия. Прочтите тред ниже, чтобы узнать, как оставаться в безопасности. https://t.co/2SQGdtPKGx
— Security Alliance (@_SEAL_Org) 13 декабря 2025 г.
NimDoor и другие вредоносные программы нацелены на macOS и кошельки
Согласно отчетам, одним из штаммов, связанных с этими схемами, является NimDoor, бэкдор для macOS, который может собирать элементы связки ключей, пароли, хранящиеся в браузере, и данные мессенджеров.
Команды безопасности связывают NimDoor и связанные с ним инструменты с BlueNoroff, группой, связанной с сетью Lazarus Group. У BlueNoroff долгая история атак на криптофирмы и биржи.
Как только вредоносное ПО установлено, кошельки опустошаются в течение нескольких минут. Жертвы часто обнаруживают кражу только после того, как увидят исходящие транзакции в блокчейне.
Дипфейки и приглашения в календаре делают мошенничество более убедительным
Исследователи предупреждают, что злоумышленники не просто используют поддельные имена. Они также используют инструменты для создания дипфейков и синтеза голоса с помощью ИИ, чтобы выдавать себя за руководителей или известных контактов.
Иногда злоумышленники отправляют приглашения в календарь, которые выглядят как настоящие запросы на встречу с таких платформ, как Calendly, направляя цели на контролируемые злоумышленниками ссылки Zoom.
Уровень социальной инженерии делает звонки срочными и официальными, что сокращает время, которое жертвы тратят на то, чтобы усомниться в том, что их просят установить.
Злоумышленники нацелены как на частных лиц, так и на малый бизнес
В отчетах сообщается, что среди жертв есть частные трейдеры, сотрудники стартапов и небольшие команды в криптокомпаниях. Потери концентрированные, но широко распространенные, с оценкой около 300 000 000 долларов.
Некоторые жертвы потеряли средства, связанные с браузерными кошельками и горячими кошельками; у других были захвачены и использованы для опустошения счетов сид-фразы.
Команды безопасности призывают к быстрым действиям, когда во время удаленного сеанса предлагается подозрительное обновление: они предупреждают не запускать его, проверять отдельно и рассматривать несанкционированные «исправления» для встреч как высокий риск.
Изображение: Unsplash, график: TradingView
