Nordkoreanische Hackergruppen setzen vermehrt auf gefälschte Zoom-Updates, um Krypto-Nutzer ins Visier zu nehmen. Mithilfe ausgefeilter Social-Engineering-Taktiken versuchen sie, an Kryptowährungen und sensible Daten zu gelangen.
Angreifer, die Gruppen wie BlueNoroff, TraderTraitor und CryptoCore zugeordnet werden, geben sich als Personalvermittler, Risikokapitalgeber oder Geschäftspartner aus. Sie kontaktieren typischerweise Mitarbeiter von Krypto- und Web3-Unternehmen, Krypto-Händler und Investoren über E-Mail, Telegram oder LinkedIn. Ziel ist es, die Opfer zu angeblich legitimen Zoom-Besprechungen oder Vorstellungsgesprächen einzuladen.
Während des gefälschten Zoom-Anrufs werden technische Schwierigkeiten vorgetäuscht. Die Opfer werden dann aufgefordert, ein vermeintliches „Zoom SDK Update Script“, eine „Zoom-Erweiterung“ oder einen „Patch“ herunterzuladen. Dies dient dazu, hochentwickelte Malware, sogenannte Infostealer oder Remote Access Trojans (RATs), zu installieren. In einigen Fällen werden sogar Deepfake-Videos zur Erhöhung der Glaubwürdigkeit eingesetzt.
Die installierte Malware kann gespeicherte Anmeldeinformationen, macOS Keychain-Daten, Telegram-Nutzerdaten und vollen Zugriff auf digitale Wallets und Börsenkonten stehlen.
Spezifische Malware-Varianten umfassen „NimDoor“ für macOS sowie AppleScript-basierte Schadsoftware. Die Entwicklung in Sprachen wie C++, Nim und Go erschwert die Analyse und Erkennung der Bedrohung. Die Kampagnen sind seit über einem Jahr aktiv und werden von Sicherheitsanalysten täglich beobachtet.
Nordkoreanische Hacker sollen 2024 bereits Kryptowährungen im Wert von bis zu 1,34 Milliarden US-Dollar gestohlen haben, was 61 % aller Krypto-Verluste in diesem Jahr ausmacht.
Die finanziellen Schäden sind immens und die gestohlenen Gelder werden Berichten zufolge zur Finanzierung nordkoreanischer Waffenprogramme verwendet. Die kontinuierliche Bedrohungslage erfordert erhöhte Wachsamkeit von Krypto-Nutzern und Unternehmen im Sektor.
