据安全研究人员透露,与朝鲜有关的黑客正利用虚假Zoom通话清空加密货币账户,这已成为加密货币社区几乎每日面临的威胁。多份安全报告显示,该行动已窃取约3亿美元资金,且未见放缓迹象。
虚假Zoom会议被用于清空钱包
安全联盟(SEAL)等研究人员指出,攻击者首先通过Telegram等通讯应用联系目标,随后邀请受害者参与看似合法的视频通话。
通话过程中,冒充者声称存在音视频问题,并提供“修复方案”——一个看似官方更新的文件或链接。当受害者运行该文件时,恶意软件便会安装并开始窃取凭证、浏览器数据和加密密钥。
每日均有多起同类攻击报告,且模式高度一致。研究人员表示,这种精心设计的通话能绕过常规警惕,因为人们往往信任镜头前的人。
SEAL正在追踪朝鲜背景攻击者每日多次使用“虚假Zoom”策略传播恶意软件并扩大其攻击范围的企图。
社会工程学是此类攻击的核心。请阅读下方推文获取安全防护建议。https://t.co/2SQGdtPKGx
— Security Alliance (@_SEAL_Org) 2025年12月13日
NimDoor等恶意软件变种瞄准macOS与钱包
报告显示,相关攻击中使用的NimDoor是一种macOS后门程序,可窃取钥匙串项目、浏览器保存的密码及通讯数据。
安全团队将NimDoor及相关工具与BlueNoroff组织关联,该组织隶属Lazarus黑客网络,长期攻击加密公司与交易所。
一旦恶意软件植入,钱包可在数分钟内被清空。受害者往往是在区块链上发现转出交易后才意识到被盗。
深度伪造与日历邀请增强诈骗可信度
研究人员警告,攻击者不仅使用虚假身份,还借助AI深度伪造视频及语音工具冒充高管或已知联系人。
攻击者有时会发送看似Calendly等平台发出的真实会议邀请的日历通知,将目标引导至黑客控制的Zoom链接。
高水准的社会工程学手段使通话显得紧急且正式,极大缩短了受害者质疑所要求安装内容的时间。
攻击目标涵盖个人与小型企业
披露报告显示,受害者包括个人交易员、初创企业员工及加密公司小型团队。损失金额集中但波及范围广,预估达3亿美元。
部分受害者损失了浏览器钱包和热钱包资金;另一些则因助记词被窃导致账户清空。
安全团队紧急呼吁:在远程会话中遇到可疑更新时应立即停止操作,切勿运行文件,通过独立渠道验证,并将未经请求的会议修复方案视为高风险行为。
头图来源:Unsplash,图表来源:TradingView
