與北韓相關的黑客持續使用直播視頻通話,包括AI生成的深偽技術,來誘騙加密貨幣開發者和工作人員在自己的設備上安裝惡意軟件。 在BTC布拉格聯合創始人Martin Kuchař披露的最新案例中,攻擊者利用被入侵的Telegram帳戶和一個假裝的視頻通話,推送偽裝成Zoom音頻修復的惡意軟件,他說。 Kuchař在X上於星期四披露,這場“高層次的黑客行動”似乎“針對比特幣和加密貨幣用戶”。
攻擊者聯繫受害者並安排Zoom或Teams通話,Kuchař解釋說。在通話期間,他們使用AI生成的視頻,讓受害者相信對方是他們認識的人。 然後他們聲稱存在音頻問題,並要求受害者安裝一個插件或文件來修復。安裝後,惡意軟件賦予攻擊者完全的系統訪問權限,使他們能夠竊取比特幣、控制Telegram帳戶,並利用這些帳戶來攻擊其他人。 這一事件發生之際,根據區塊鏈分析公司Chainalysis的數據,AI驅動的冒充詐騙已將2025年的加密貨幣相關損失推升至創紀錄的170億美元,攻擊者越來越多地使用深偽視頻、聲音克隆和假身份來欺騙受害者並獲取資金。
類似攻擊 根據Kuchař的描述,這次攻擊與網絡安全公司Huntress首次記錄的技術非常相似。該公司在去年7月報告稱,這些攻擊者在Telegram初步聯繫後,誘使目標加密貨幣工作人員參與一個假裝的Zoom通話,通常使用一個偽造的Zoom域名上的假會議鏈接。
在通話中,攻擊者會聲稱存在音頻問題,並指示受害者安裝一個看似與Zoom相關的修復程序,實際上是一個惡意的AppleScript,會啟動多階段的macOS感染,根據Huntress的說法。 一旦執行,該腳本會禁用shell歷史記錄,檢查或安裝Rosetta 2(Apple Silicon設備的翻譯層),並反覆提示用戶輸入系統密碼以獲取提升的權限。 研究發現,該惡意軟件鏈會安裝多個有效載荷,包括持久後門、鍵盤記錄和剪貼簿工具,以及加密貨幣錢包竊取工具,這與Kuchař在星期一披露他的Telegram帳戶被入侵並被用來以相同方式攻擊他人的情況相似。
社會行為模式 Huntress的安全研究人員高度確信這次入侵與一個與北韓相關的高級持久威脅TA444(也稱BlueNoroff)有關,該組織自2017年起就專注於加密貨幣盜竊,並以多個別名運作,統稱Lazarus Group。 當被問及這些行動的目標以及是否認為它們之間存在關聯時,區塊鏈安全公司Slowmist的首席資訊安全官Shān Zhang告訴_decrypt_,他認為對Kuchař的最新攻擊“可能”與Lazarus Group的更廣泛行動有關。 “不同活動之間明顯存在重複使用的模式。我們經常看到針對特定錢包的攻擊,以及使用非常相似的安裝腳本,”去中心化AI計算網絡Gonka的共同創始人David Liberman告訴_decrypt_。 Liberman表示,“圖像和視頻”“不再能被視為可靠的真實證明”,並補充說數字內容“應由創作者進行加密簽名,且此類簽名應需要多因素授權。” 他指出,在此類情境中,故事已成為“追蹤和偵測的重要信號”,因為這些攻擊“依賴於熟悉的社會行為模式”。
北韓的Lazarus組織與針對加密貨幣公司、工作人員和開發者的行動有關,利用定制的惡意軟件和高級社會工程學來竊取數字資產和存取憑證。
