مدير سابق في Animoca يفقد مدخرات حياته بسبب اختراق عبر Zoom مرتبط بمجموعة Lazarus

مدير سابق في Animoca تعرض لتفريغ محافظه الرقمية بعد تنزيل تحديث زائف لبرنامج ZoOM خلال هجوم تصيد مرتبط بمجموعة القرصنة الكورية الشمالية Lazarus.

كشف مهدي فاروق، الشريك الاستثماري في HYPErsphere والمدير السابق في Animoca Brands، في منشور على X يوم الخميس أنه فقد جزءًا كبيرًا من مدخرات حياته بسبب اختراق عبر Zoom مرتبط بمجموعة القرصنة الكورية الشمالية Lazarus.

بدأت عملية الاحتيال عندما تلقى فاروق رسالة عبر TELegram من أليكس لين، وهو معارف مهنية. طلب لين التواصل، وقام فاروق بمشاركة رابط Calendly الخاص به لجدولة المكالمة.

في اليوم التالي، وقبل وقت قصير من الاجتماع، أرسل لين رسالة مرة أخرى يطلب فيها تحويل المكالمة إلى Zoom Business "لأسباب تتعلق بالامتثال"، موضحًا أن أحد شركائه المحدودين، كينت - والذي يعرفه فاروق أيضًا - سينضم إليهم.

بدا اجتماع Zoom شرعيًا. كان لدى كلا المشاركين كاميراتهم مفتوحة، ولكن لم يكن هناك صوت. في دردشة Zoom، ذكروا أنهم يواجهون مشاكل تقنية وطلبوا من فاروق تحديث عميل Zoom الخاص به. في غضون دقائق من تثبيت التحديث الزائف، تم تفريغ ستة من محافظ فاروق الرقمية.

لم يدرك فاروق إلا لاحقًا أن حساب لين قد تم اختراقه. تم ربط المخطط لاحقًا بـ LazARus، مجموعة القرصنة المدعومة من الدولة الكورية الشمالية.

كتب فاروق: "كان الأمر سرياليًا وانتهاكًا كاملاً. ولكن في أحلك لحظة، تدخل القراصنة ذوو القبعات البيضاء - غرباء تمامًا قدموا المساعدة عندما كنت في أسوأ حالاتي. اتضح أنني تعرضت للاختراق من قبل تهديد مرتبط بـ DPRK يُعرف باسم dangrouspassWord".

تكرر هذا الحادث محاولة تصيد حديثة استهدفت المؤسس المشارك لشبكة Manta Network كيني لي، الذي تجنب بصعوبة مصيرًا مماثلًا. ذكر لي أن المهاجمين انتحلوا هويات معارفه خلال مكالمة Zoom، واستخدموا مقاطع فيديو مزيفة، وأصرّوا على تنزيل تحديث Zoom مشبوه. بتوقع وجود خدعة، اقترح لي تحويل منصات الاتصال، مما دفع المهاجمين إلى حظره ومحو الرسائل.

يقول محللو الأمن أن هذا النمط من الهجوم - حيث يتظاهر القراصنة بأنهم جهات اتصال موثوقة، ويختلقون أعطالًا تقنية، ويدفعون ببرامج ضارة متنكرة في شكل تحديثات Zoom - هو سمة مميزة لعمليات Lazarus وقد استُخدم مرارًا لسرقة الملايين في العملات الرقمية.

أبلغ قادة آخرون في صناعة العملات الرقمية، بما في ذلك مؤسسو Mon Protocol وStABly وDevdock AI، عن محاولات تصيد مماثلة، مما يسلط الضوء على مدى انتشار واستهداف هذه الهجمات.

قام نيك باكس من Security Alliance بتحليل هذه الخدعة في منشور على X يوم 11 مارس.

هل تواجه مشاكل صوتية في مكالمة Zoom الخاصة بك؟ هذا ليس مستثمرًا، إنه قراصنة كوريون شماليون. لحسن الحظ، أدرك هذا المؤسس ما كان يحدث. تبدأ المكالمة بعدد قليل من "المستثمرين" على الخط. يرسلون رسائل في الدردشة يقولون فيها أنهم لا يستطيعون سماع صوتك، أو يقترحون وجود... Pic.twitter.com/ZnW8Mtof4F