Бывший топ-менеджер Animoca потерял все сбережения из-за взлома Zoom от Lazarus

Бывший руководитель Animoca лишился средств в криптокошельках после загрузки поддельного обновления Zoom в ходе фишинговой атаки, связанной с северокорейской хакерской группировкой Lazarus.

Мехди Фарук, инвестиционный партнер Hypersphere и экс-топ-менеджер Animoca Brands, в своем посте на X в четверг раскрыл, что потерял значительную часть своих сбережений из-за взлома Zoom, связанного с северокорейской хакерской группировкой Lazarus.

Мошенничество началось, когда Фарук получил сообщение в Telegram от Алекса Лина, своего профессионального знакомого. Лин предложил встретиться, и Фарук отправил ему ссылку на Calendly для назначения звонка.

На следующий день, незадолго до встречи, Лин снова написал, попросив перевести звонок в Zoom Business «по соображениям соответствия», объяснив, что к ним присоединится один из его партнеров, Кент — которого Фарук также знал.

Звонок в Zoom казался легитимным. Оба участника включили камеры, но звука не было. В чате Zoom они сообщили о технических неполадках и попросили Фарука обновить клиент Zoom. В течение нескольких минут после установки поддельного обновления шесть криптокошельков Фарука были опустошены.

Только позже Фарук понял, что аккаунт Лина был взломан. Позже схему связали с Lazarus — северокорейской хакерской группировкой, спонсируемой государством.

«Это было сюрреалистично и абсолютно неприемлемо. Но в самый темный момент на помощь пришли белые хакеры — совершенно незнакомые люди, предложившие поддержку, когда я был на самом дне. Оказалось, что меня скомпрометировала угроза, связанная с КНДР, известная как dangrouspassword», — написал Фарук.

Этот инцидент перекликается с недавней фишинговой атакой на соучредителя Manta Network Кенни Ли, которому чудом удалось избежать аналогичной участи. Ли рассказал, что злоумышленники выдавали себя за знакомых во время звонка в Zoom, использовали поддельные видео и настаивали на загрузке подозрительного обновления Zoom. Заподозрив неладное, Ли предложил сменить платформу для общения, после чего атакующие заблокировали его и удалили сообщения.

Аналитики по безопасности отмечают, что такой вектор атаки — когда хакеры выдают себя за доверенных лиц, имитируют технические сбои и распространяют вредоносное ПО под видом обновлений Zoom — является визитной карточкой Lazarus и уже использовался для кражи миллионов в криптовалюте.

Другие лидеры криптоиндустрии, включая основателей Mon Protocol, Stably и Devdock AI, также сообщали о подобных фишинговых атаках, что подчеркивает масштаб и целенаправленность этих операций.

Ник Бакс из Security Alliance разобрал эту схему в посте на X 11 марта.

Проблемы со звуком в Zoom? Это не венчурные капиталисты, а северокорейские хакеры. К счастью, этот основатель вовремя понял, что происходит. Звонок начинается с нескольких «венчурных капиталистов» в конференции. В чате они пишут, что не слышат ваш звук или предлагают… pic.twitter.com/ZnW8Mtof4F