Кенни Ли (Kenny Li) сообщил, что с ним связался знакомый и попросил связаться через платформу онлайн-конференций Zoom. Когда Ли зашел в Zoom, все выглядело вполне нормально: у собеседника была включена камера и было видно лицо. Однако во время звонка звук отсутствовал, и Ли увидел предложение загрузить файл скрипта под видом обновления Zoom.
Заподозрив обман, Ли попытался проверить личность собеседника, предложив перейти в Google Meet или пообщаться в Telegram. Самозванец отказался, затем быстро удалил все сообщения и заблокировал Ли. Позже руководитель Manta Network рассказал, что учетная запись настоящего пользователя, чья личность использовалась во время видеозвонка, была скомпрометирована хакерами Lazarus.
Это не первый случай, когда Lazarus использует Zoom для фишинга. Обсуждая инцидент, Джулио Ксилояннис (Giulio Xiloyannis), сооснователь компании Mon Protocol, разрабатывающей игры на основе блокчейна, рассказал, как ему удалось не стать жертвой мошенника. В его случае хакер выдавал себя за руководителя проекта Story Protocol, пытаясь заманить Ксилоянниса и его директора по маркетингу на встречу. Обман раскрылся, когда из-за проблем со звуком их попросили подключиться к Zoom по новой ссылке. Если бы они это сделали, то загрузили бы вредоносное ПО для кражи личных данных.
С похожей атакой столкнулся сооснователь платформы Stably Дэвид Чжан (David Zhang). Сначала мошенники созвонились с ним в Google Meet, а затем нашли причину, чтобы переключить на встречу по другой ссылке. Чжан принял звонок на своем планшете, а не на компьютере, что могло помешать установке вредоносной программы. Чжан подозревает, что фишеры пытались определить операционную систему пользователя, однако настройки вируса не была оптимизированы для мобильных устройств.
В декабре о фишинговых атаках через Zoom предупредили специалисты по безопасности SlowMist. Часто мошенники рассылают электронные письма о банкротствах известных компаний, убеждая пользователей перевести средства на «безопасный кошелек». Такую тактику применили злоумышленники, попытавшиеся выдать себя за криптобиржу Gemini.