Wie nordkoreanische Hacker Zoom nutzen, um Krypto-Firmen zu attackieren
Nordkoreanische Bedrohungsakteure führen derzeit eine ausgeklügelte Angriffskampagne gegen Unternehmen im Kryptowährungsbereich durch. Sie nutzen gefälschte Zoom-Meetings, um Schadsoftware einzuschleusen. Im Visier stehen gezielt Web3- und Blockchain-Firmen, die über soziale Manipulation unterwandert werden.
Die Angreifer geben sich als Headhunter aus und bieten lukrative Jobangebote an. Sobald der Kontakt aufgebaut ist, werden die Opfer zu vermeintlichen Vorstellungsgesprächen eingeladen. Mit dem Zoom-Link wird ein angebliches „Zoom SDK Update Script“ mitgeschickt – in Wahrheit ein Installer für Malware.
Bekannte Masche, technisch aufgerüstet
Die Vorgehensweise ist nicht neu, aber technisch stark erweitert. Laut Analysen ist diese Kampagne seit über einem Jahr aktiv und richtet sich explizit an Fachkräfte aus der Krypto-Szene.
Die Malware wurde weiterentwickelt und nutzt mehrere Programmiersprachen. Dadurch erschwert sie die Analyse und entgeht gängigen Erkennungssystemen.
So funktioniert die Angriffskette
Die Angreifer nutzen einen mehrstufigen Ablauf:
-
Erste Kontaktaufnahme per Mail oder Chat mit einem angeblichen Jobangebot
-
Terminierung eines Zoom-Calls
-
Versand eines schädlichen Scripts zur „Zoom-Installation“
-
Ausführung des Codes mit Komponenten in AppleScript, C++ und Nim
Jede Sprache erfüllt eine spezifische Funktion: AppleScript manipuliert das native macOS-System, C++ übernimmt zentrale Abläufe, Nim sorgt für Erkennungsschutz.
Warum Nim eine Schlüsselrolle spielt
Die Verwendung der Programmiersprache Nim ist besonders heikel. Sie ist wenig verbreitet, erzeugt jedoch native Binaries, die gängige Antivirenprogramme kaum erkennen.
Die ungewöhnliche Syntax erschwert die Analyse automatisierter Tools. Nim schafft also eine gefährliche Lücke in bestehenden Sicherheitslösungen.
Was die Malware stiehlt
Nach der Infektion baut die Malware eine WebSocket-Verbindung auf, über die sie in Echtzeit Befehle empfängt und Daten exfiltriert.
Sie zielt ab auf:
-
Gespeicherte Login-Daten und Cookies in Browsern wie Chrome, Brave, Edge, Firefox und Arc
-
Zugriffs-Tokens aus der macOS Keychain
-
Telegram-Nutzerdaten inklusive verschlüsselter Nachrichten und möglicher 2FA-Codes
Damit erhalten die Hacker vollständigen Zugang zu Wallets, Börsenkonten und sensiblen Daten.
Klarer Weckruf für die Krypto-Branche
Die Angriffe zeigen, dass staatlich unterstützte Gruppen wie aus Nordkorea verstärkt auf den Krypto-Sektor zielen. Neue Techniken und sprachübergreifender Malware-Code machen klassische Schutzmaßnahmen ineffektiv.
Krypto-Unternehmen müssen ihre Abwehr stärken – durch Endpoint-Schutz, Awareness-Schulungen und Analysen, die auch exotische Codearten erkennen.
ZENDATA bietet maßgeschneiderte Cybersecurity-Services für Blockchain-Startups und Krypto-Plattformen. Wir schützen Ihre Infrastruktur vor modernen Angriffen – mit globaler Expertise und lokalen Lösungen.
Fazit
Nordkoreas Hacker setzen auf psychologische Täuschung und technische Raffinesse. Unternehmen müssen wachsam bleiben und ihre Teams für Angriffsversuche sensibilisieren – insbesondere bei unerwarteten Interviewanfragen.
Lesen Sie den vollständigen Artikel von Cybersecurity News hier.
