La estafa norcoreana de Zoom falso se propaga rápidamente mientras SEAL informa intentos diarios

SEAL Security Alliance informó que ahora rastrea múltiples intentos diarios relacionados con la estafa norcoreana de Zoom falso.

El hackeo cripto de Zoom falso utiliza una invitación a una reunión que parece normal. Luego, se transforma en una descarga de archivo que instala malware.

La investigadora de seguridad Taylor Monahan dijo que este método ya ha robado más de 300 millones de dólares. La advertencia circuló junto con material atribuido a SEAL Security Alliance.

Estafa Norcoreana de Zoom Falso. Fuente: Taylor Monahan vía X

El hackeo cripto de Zoom falso comienza con la toma de control de una cuenta de Telegram

La estafa norcoreana de Zoom falso suele comenzar en Telegram. Monahan dijo que el primer mensaje puede provenir de una cuenta que la víctima reconoce.

Luego, el chat se traslada a un plan de Zoom. Monahan explicó que los atacantes envían un enlace que parece legítimo. Dijo que el enlace “usualmente está disfrazado para parecer real”.

“Compartirán un enlace antes de la llamada que usualmente está disfrazado para parecer real,”

dijo Monahan. Agregó que las víctimas pueden ver “a la persona y a algunos de sus colegas” durante la llamada.

Monahan también abordó afirmaciones sobre videos generados por IA.

“Estos videos no son deepfakes como se ha informado ampliamente,”

dijo. “Son grabaciones reales de cuando fueron hackeados o de fuentes públicas (podcasts).”

El enlace de malware de Zoom distribuye malware a través de un archivo “patch”

Durante la llamada, Monahan explicó que los atacantes simulan problemas de audio. Luego envían un archivo “patch” para supuestamente solucionar el inconveniente.

El enlace de malware de Zoom y el archivo “patch” están en el centro del hackeo cripto de Zoom falso. Monahan dijo que al abrir el archivo, el dispositivo se infecta.

Después de eso, Monahan indicó que los atacantes terminan la llamada y actúan con calma. “Desafortunadamente, tu computadora ya está comprometida,” dijo. “Solo se hacen los tranquilos para evitar ser detectados.”

Monahan señaló que el malware permite el robo de billeteras cripto, además del robo de contraseñas y claves privadas. También dijo que los atacantes buscan tomar el control de “tu cuenta de Telegram”.

La toma de control de cuentas de Telegram ayuda a expandir la estafa norcoreana de Zoom falso

Monahan explicó que la toma de control de cuentas de Telegram ayuda a propagar la estafa norcoreana de Zoom falso.

Dijo que los atacantes utilizan cuentas de Telegram comprometidas para contactar a los contactos almacenados. Ese acceso genera nuevos objetivos para el mismo patrón de phishing cripto en Zoom.

Monahan describió el efecto en la red de la víctima en términos directos. “Luego vas a rektear a todos tus amigos,” dijo, tras describir el compromiso de la cuenta de Telegram.

“Por último, si hackean tu Telegram, TENÉS QUE AVISARLE A TODOS YA,” dijo Monahan. “Estás a punto de hackear a tus amigos. Por favor, dejá el orgullo de lado y GRITALO.”

Taylor Monahan enumera los pasos a seguir tras hacer clic en un enlace de malware de Zoom

Monahan describió lo que reportaron las víctimas tras hacer clic en un enlace de malware de Zoom durante la estafa norcoreana de Zoom falso.

Dijo que las personas deben desconectarse del WiFi y apagar el dispositivo afectado. Luego, deben usar otro dispositivo para mover fondos, cambiar contraseñas y activar la autenticación de dos factores donde sea posible.

También describió un “borrado completo de memoria” antes de volver a usar el dispositivo infectado. Detalló pasos de seguridad para la cuenta de Telegram, incluyendo revisar las sesiones de dispositivos, cerrar otras sesiones y actualizar los controles de autenticación.

Monahan calificó la protección de Telegram como “crítica” porque los atacantes usan la toma de control de cuentas de Telegram para continuar la cadena del hackeo cripto de Zoom falso.