Hackers norcoreanos roban 300 millones de dólares con falsas reuniones de criptomonedas
Ciberdelincuentes vinculados a Corea del Norte malversaron más de 300 millones de dólares del sector de las criptomonedas utilizando falsas reuniones en vídeo, cuentas de Telegram comprometidas y malware avanzado.
Cibercriminales norcoreanos han implementado un sofisticado cambio de estrategia en sus campañas de ingeniería social, consiguiendo robar más de 300 millones de dólares haciéndose pasar por figuras de confianza del sector en falsos encuentros en vídeo.
Esta alerta, detallada por el investigador de seguridad de MetaMask Taylor Monahan (conocido como Tayvano), describe una compleja estafa de 'timo largo' (long-con) dirigida a ejecutivos de criptomonedas.
El cebo: cuentas de Telegram secuestradas y contactos falsos.
Según Monahan, la campaña supone un cambio respecto a los ataques recientes que se basaban en deepfakes con inteligencia artificial. En su lugar, utiliza un enfoque más directo, basado en el secuestro de cuentas de Telegram y el uso de filmaciones en bucle recicladas de entrevistas reales.
El ataque suele comenzar después de que los hackers se hagan con el control de una cuenta de Telegram de confianza, a menudo perteneciente a un capitalista de riesgo o a una persona que la víctima conoció previamente en una conferencia. A continuación, los atacantes aprovechan el historial de chat anterior para aparentar legitimidad, guiando a la víctima a una videollamada en Zoom o Microsoft Teams a través de un enlace de Calendario camuflado.
La puesta en escena: vídeos reciclados y problemas técnicos falsos.
Una vez iniciada la reunión, la víctima ve lo que parece ser un feed de vídeo en directo de su contacto. En realidad, suele tratarse de una grabación reciclada de un podcast o de una aparición pública.
El momento decisivo suele llegar tras un problema técnico simulado. Tras citar problemas de audio o vídeo, el atacante insta a la víctima a restablecer la conexión descargando un script específico o actualizando un kit de desarrollo de software (SDK). El archivo entregado en ese momento contiene la carga maliciosa.
El golpe final y el papel de RAT.
Una vez instalado, el malware -a menudo un troyano de acceso remoto (RAT)- otorga al atacante el control total del sistema. El RAT drena carteras de criptomonedas y exfiltra datos sensibles, incluyendo protocolos de seguridad internos y tokens de sesión de Telegram, que luego se utilizan para atacar a la siguiente víctima de la red.
Monahan advirtió de que este portador específico "arma la cortesía profesional". Los hackers se basan en la presión psicológica de una reunión de negocios para forzar un error de juicio, convirtiendo una solución de problemas solicitada de rutinas en una brecha de seguridad fatal. Para los participantes del sector, cualquier solicitud de descarga de software durante una llamada se considera ahora una señal de ataque activa.
Esta estrategia de reuniones falsas forma parte de una ofensiva más amplia de los actores de la RPDC, que han malversado unos 2.000 millones de dólares del sector en el último año, incluida la brecha de Bybit.
Seguir leyendo
El pirateo de WeChat implica al cofundador de Binance
La cuenta de WeChat del cofundador de Binance fue pirateada para impulsar la moneda meme Mubarakah en un esquema de pump-and-dump.
Exploit en Yearn Finance: ataque de 2,8 millones de yETH
Un ataque de "menta infinita" afectó al yETH de Yearn Finance, vaciando 2,8 millones de los fondos del Balancer y desencadenando una reacción anormal del mercado sobre el token YFI.
32 Millones Upbit Hack: ¡Token Solana a Estrellas en el Mercado Coreano!
Upbit suspende los depósitos y retiradas tras un ataque hacker que malversó 32 millones en tokens Solana, provocando fuertes primas en el mercado coreano.
Robo de criptomonedas en el Reino Unido: condenas y riesgo de autocustodia
Un robo de más de 4,3 millones en criptomonedas en el Reino Unido pone en entredicho la seguridad de la autocustodia y los riesgos del factor humano.