Lazarus ataca de nuevo: hackers roban criptomonedas con falsas llamadas de Zoom

Los ciberdelincuentes de Corea del Norte han descubierto un nuevo método para robar criptomonedas. Utilizando falsas reuniones de Zoom, los hackers norcoreanos logran vaciar las billeteras de criptomonedas de sus víctimas. Según investigadores de seguridad, esta táctica ya ha resultado en el robo de más de 300 millones de dólares.

Engaño a través de videollamadas falsas

Según Taylor Monahan, investigadora de seguridad de MetaMask, los atacantes utilizan reuniones de Zoom y Teams guionizadas para engañar a sus víctimas. El ataque generalmente comienza con un mensaje en Telegram de una cuenta que finge ser un conocido de la víctima. Luego, se comparte un enlace de Zoom a través de una invitación en Calendly.

Durante la ‘reunión’, la víctima ve un video en vivo del supuesto contacto y otros miembros del equipo. Sin embargo, en realidad son imágenes pregrabadas. El atacante se queja de problemas de audio y envía a través del chat lo que aparenta ser un archivo de parche. En realidad, este archivo contiene un Troyano de Acceso Remoto (RAT), un tipo de malware que puede robar datos sensibles como contraseñas, protocolos de seguridad y claves privadas.

“Ya han robado más de 300 millones de dólares con este método,” asegura Monahan. “Los actores norcoreanos siguen haciendo demasiadas víctimas a través de sus falsas reuniones de Zoom y Teams.”

Ciberataques organizados a la industria de criptomonedas

Esta táctica es parte de una estrategia más amplia de grupos de hackers norcoreanos, entre ellos Lazarus Group. Esta agrupación ha estado vinculada durante años con ataques a gran escala en el sector de criptomonedas. Anteriormente, utilizaron ofertas de trabajo falsas e entrevistas manipuladas para acceder a los sistemas internos de las empresas del sector.

En noviembre, Lazarus logró mediante una operación similar robar activos digitales por valor de 30,6 millones de dólares en Upbit, la mayor bolsa de criptomonedas de Corea del Sur. Según la empresa de ciberseguridad SEAL, se detectan varios de estos ataques diariamente.

Los expertos recomiendan a las víctimas que, ante la sospecha de infección, desconecten de inmediato la conexión wifi y apaguen el dispositivo para limitar el daño. En total, ya se han robado a nivel mundial más de 2,17 mil millones de dólares en activos criptográficos hasta 2025.