- La estafa se basa en la suplantación de Telegram y videollamadas pregrabadas para generar confianza.
- El malware se entrega como un parche de audio falso o SDK durante la reunión.
- Security Alliance afirma que está rastreando múltiples intentos de este tipo cada día.
Los ciberdelincuentes norcoreanos están escalando ataques de ingeniería social explotando reuniones falsas de Zoom y Teams para desplegar malware que drena datos sensibles y wallets criptomonedas.
La empresa de ciberseguridad Security Alliance, también conocida como SEAL, ha advertido que está rastreando múltiples intentos diarios vinculados a estas campañas.
La actividad pone de manifiesto un cambio hacia un engaño más convincente y en tiempo real en lugar de un phishing burdo.
La advertencia sigue a las revelaciones del investigador de seguridad de MetaMask, Taylor Monahan, quien ha estado siguiendo de cerca el patrón y señalando la magnitud de las pérdidas ya vinculadas a la táctica.
El método se basa en la familiaridad, la confianza y los hábitos laborales, lo que lo hace especialmente eficaz contra profesionales del sector cripto y tecnológico que utilizan habitualmente herramientas de videoconferencia.
Cómo funciona la estafa falsa de Zoom
El ataque suele comenzar en Telegram, donde las víctimas reciben un mensaje de una cuenta que parece pertenecer a alguien que ya conocen. Los atacantes se dirigen específicamente a contactos con historial de chat existente, aumentando la credibilidad y reduciendo la sospecha.
Una vez que comienza el interacción, la víctima es guiada para que programe una reunión a través de un enlace de Calendly, que conduce a lo que parece ser una llamada legítima por Zoom.
Cuando comienza la reunión, la víctima ve lo que parece ser una transmisión en directo de su contacto y otros miembros del equipo.
En realidad, las imágenes están pregrabadas, no deepfakes generados por IA.
Durante la llamada, el atacante afirma que hay problemas de audio y sugiere instalar una solución rápida.
Un archivo se comparte en el chat y se presenta como un parche o actualización del kit de desarrollo de software para restaurar la claridad del sonido.
Ese archivo contiene la carga útil del malware. Una vez instalado, da al atacante acceso remoto al dispositivo de la víctima.
Impacto del malware en wallets criptomonedas
El software malicioso suele ser un troyano de acceso remoto. Tras la instalación, extrae silenciosamente información sensible, incluyendo contraseñas, documentación de seguridad interna y claves privadas.
En entornos centrados en cripto, esto puede resultar en un drenaje total de la cartera con poca indicación inmediata de compromiso.
Monahan ha advertido en X que ya se han robado más de 300 millones de dólares usando variaciones de este enfoque, y que los mismos actores malintencionados continúan explotando reuniones falsas de Zoom y Teams para comprometer a los usuarios.
SEAL ha expresado la preocupación, señalando la frecuencia y coherencia de estos intentos en el sector cripto.
El manual cibernético en evolución de Corea del Norte
Los grupos de hackers norcoreanos llevan mucho tiempo vinculados a ciberdelitos motivados por motivos económicos, y se cree que los beneficios apoyan al régimen.
Grupos como Lazarus han atacado anteriormente exchanges y empresas blockchain mediante exploits directos y ataques a la cadena de suministro.
Más recientemente, estos actores se han inclinado mucho hacia la ingeniería social.
En los últimos meses, han infiltrado empresas cripto mediante solicitudes de empleo falsas y procesos de entrevistas preparados diseñados para entregar malware.
El mes pasado, Lazarus fue vinculado a una brecha en la mayor bolsa de Corea del Sur, Upbit, que resultó en pérdidas de aproximadamente 30,6 millones de dólares .
La táctica falsa de Zoom refleja un giro estratégico más amplio hacia vectores de ataque centrados en el ser humano que eluden salvaguardas técnicas.
Lo que los expertos dicen que deberían hacer los usuarios
Los expertos en seguridad advierten que, una vez ejecutado un archivo malicioso, la rapidez importa.
En casos de sospecha de infección durante una llamada, se recomienda a los usuarios desconectarse inmediatamente del WiFi y apagar el dispositivo para interrumpir la exfiltración de datos.
La advertencia general es tratar con extrema cautela los enlaces inesperados de reuniones, parches de software y solicitudes técnicas urgentes, incluso cuando parezcan provenir de contactos conocidos.
