朝鲜网络犯罪组织近期调整了其社交工程攻击策略,通过假冒行业知名人士、伪造视频会议,已盗取超 3 亿美元加密资产。
MetaMask 安全研究员 Taylor Monahan(业内亦称 Tayvano)发出预警,称针对加密行业高管的新型“长期诱骗”攻击手法愈发复杂。
Monahan 指出,这类攻击已不再依赖于AI 深度伪造技术。
新型骗局更加直接,主要由劫持 Telegram 账号及循环播放真实访谈片段组成。
攻击流程通常始于黑客控制受害者信任的 Telegram 账号,这类账号多为知名投资人或和受害者曾在行业大会中见过面的人士。
随后,攻击者利用历史聊天记录加强可信度,引导受害者通过伪装的 Calendly 链接加入 Zoom 或 Microsoft Teams 视频会议。
会议开始后,受害人看到的仿佛是联系人正在“实时视频通话”,实际上,这往往是播出自播客或公开活动的录制视频。
关键时刻通常发生在“人为制造”的技术故障后。
攻击者会以音频或视频“连接问题”为由,要求受害者下载某个脚本文件,或更新 SDK(软件开发工具包)。此时提供的文件实则内含恶意代码。
一旦受到感染,受害者设备通常会被远程访问木马(RAT)控制。
攻击者可随意窃取加密钱包资金,同时获取敏感信息,包括内部安全协议以及 Telegram 会话令牌,进而对下一个目标加以利用。
对此,Monahan 警告称,这一攻击手法本质上是将职场礼仪武器化。
黑客利用“商务会议”的社交压力,促使受害人放松警惕,将普通的故障排查要求变成了致命漏洞。
对于行业参与者而言,任何在通话过程中要求下载安装软件的请求都应被视为安全警报。
与此同时,此类“假会议”骗局,已成为朝鲜境内黑客组织针对加密行业的整体攻势之一。过去一年,该类势力累计盗窃金额高达约 20 亿美元,其中也包括Bybit 被黑事件。
