Хакери, пов’язані з Північною Кореєю, використовують глибокі фейкові відеодзвінки для цілеспрямованого впливу на працівників криптоіндустрії

Коротко

• Зловмисники використовували підроблений відеодзвінок і “аудіорішення” Zoom для поширення шкідливого програмного забезпечення для macOS.
• Метод відповідає раніше задокументованому способу вторгнення, пов’язаному з BlueNoroff — підгрупою Lazarus, що має зв’язки з Північною Кореєю.
• Інцидент стався на тлі того, що шахрайські схеми з використанням штучного інтелекту, що імітують голос і обличчя, спричинили рекордні криптовалютні втрати у розмірі $17 мільярдів у 2025 році.

Хакери, пов’язані з Північною Кореєю, продовжують використовувати живі відеодзвінки, включаючи глибокі фейки, щоб обманути розробників і працівників криптоіндустрії, змушуючи їх встановлювати шкідливе програмне забезпечення на власних пристроях. У найновішому випадку, про який повідомив співзасновник BTC Prague Мартін Кучар, зловмисники використали зламаний акаунт у Telegram і сфальсифікований відеодзвінок для поширення шкідливого ПО, маскованого під аудіорішення Zoom, повідомив він. «Високорівнева кампанія з хакерства», за його словами, «орієнтована на користувачів Bitcoin і криптовалют», — розкрив Кучар у четвер у X. 

Зловмисники зв’язуються із жертвою і організовують дзвінок у Zoom або Teams, пояснив Кучар. Під час дзвінка вони використовують відео, створене штучним інтелектом, щоб здаватися знайомою особою для жертви. Після цього вони стверджують, що виникла проблема з аудіо і просять встановити плагін або файл для її виправлення. Після встановлення шкідливе ПО отримує повний доступ до системи, що дозволяє зловмисникам красти Bitcoin, захоплювати акаунти у Telegram і використовувати їх для цілеспрямованих атак. Це відбувається на тлі того, що шахрайські схеми з імітацією за допомогою штучного інтелекту спричинили рекордні криптовалютні втрати у розмірі $17 мільярдів у 2025 році, при цьому зловмисники все частіше використовують глибокі фейки, клонування голосу та фальшиві особистості для обману жертв і отримання доступу до коштів, згідно з даними аналітичної компанії Chainalysis. Подібні атаки Атака, описана Кучаром, тісно відповідає техніці, вперше задокументованій компанією з кібербезпеки Huntress, яка повідомила у липні минулого року, що ці зловмисники заманюють цільового крипто-спеціаліста у сфальсифікований дзвінок Zoom після первинного контакту у Telegram, часто використовуючи фальшиве посилання на зустріч, розміщене на підробленому домені Zoom.

Під час дзвінка зловмисники стверджують, що виникла проблема з аудіо і інструктують жертву встановити те, що здається виправленням для Zoom, але насправді є шкідливим AppleScript, який ініціює багатоступеневу інфекцію macOS, за даними Huntress. Після запуску скрипт вимикає історію команд оболонки, перевіряє або встановлює Rosetta 2 (слой перекладу) на пристроях з Apple Silicon і багаторазово запитує у користувача пароль системи для отримання підвищених привілеїв. Дослідження показало, що ланцюг шкідливого ПО встановлює кілька компонентів, включаючи постійні бекдори, інструменти для ключового логування і буфера обміну, а також крадіжки криптовалютних гаманців, — подібна послідовність, яку Кучар зазначив, коли у понеділок повідомив, що його акаунт у Telegram був зламаний і згодом використаний для цілеспрямованих атак. Соціальні патерни Фахівці з безпеки Huntress з високою впевненістю приписують цю інтродукцію Північнокорейській просунутій постійній загрозі TA444, також відомій як BlueNoroff і під кількома іншими псевдонімами, що діє під егідою Lazarus Group, державної групи, яка з 2017 року зосереджена на крадіжках криптовалют. На запитання про цілі цих кампаній і чи є між ними зв’язок, Шань Чжан, головний офіцер з інформаційної безпеки компанії Slowmist, що займається безпекою блокчейну, сказав Decrypt, що остання атака на Кучара «можливо» пов’язана з ширшими кампаніями Lazarus Group. «Ми бачимо чітке повторне використання під час кампаній. Ми постійно спостерігаємо цільові атаки на конкретні гаманці і використання дуже схожих сценаріїв встановлення», — сказав Девид Ліберман, співзасновник децентралізованої мережі обчислень AI Gonka, у Decrypt. Зображення і відео «більше не можна вважати надійним доказом автентичності», — додав Ліберман, зазначаючи, що цифровий контент «повинен бути криптографічно підписаний його творцем, і такі підписи повинні вимагати багатофакторної авторизації». Наративи, у таких випадках, стали «важливим сигналом для відстеження і виявлення», оскільки ці атаки «залежать від знайомих соціальних патернів», — сказав він.

Група Lazarus з Північної Кореї пов’язана з кампаніями проти криптовалютних компаній, працівників і розробників, використовуючи спеціально налаштоване шкідливе програмне забезпечення і складні соціальні інженерні схеми для крадіжки цифрових активів і доступу до облікових даних.