Хакеры, связанные с Северной Кореей, используют видео-звонки с глубоким подделыванием для атаки на сотрудников криптоиндустрии

Вкратце

• Злоумышленники использовали поддельный видеозвонок и «аудио-фикс» Zoom для распространения вредоносного ПО для macOS.
• Метод совпадает с ранее задокументированным способом вторжения, связанным с Северокорейской группировкой BlueNoroff, подгруппой Lazarus.
• Инцидент произошел на фоне того, что мошенничество с имитацией с помощью ИИ привело к рекордным потерям в криптовалюте, достигшим $17 миллиардов в 2025 году.

Хакеры, связанные с Северной Кореей, продолжают использовать живые видеозвонки, включая AI-сгенерированные дипфейки, чтобы обмануть разработчиков и работников криптоиндустрии и заставить их установить вредоносное ПО на свои устройства. В последнем случае, о котором сообщил соучредитель BTC Prague Мартин Кучар, злоумышленники использовали взломанный аккаунт в Telegram и инсценированный видеозвонок, чтобы распространить вредоносное ПО, маскирующееся под аудиофикс Zoom, — сказал он. «Высокоуровневая кампания взлома», по его словам, «нацелена на пользователей Bitcoin и криптовалют», — сообщил Кучар в четверг в X. 

Злоумышленники связываются с жертвой и организуют звонок в Zoom или Teams, объяснил Кучар. Во время звонка они используют AI-сгенерированное видео, чтобы казаться знакомым для жертвы человеком. Затем они утверждают, что есть проблема с аудио и просят установить плагин или файл для её исправления. После установки вредоносное ПО предоставляет злоумышленникам полный доступ к системе, позволяя красть Bitcoin, захватывать аккаунты в Telegram и использовать эти аккаунты для атаки на других. Это происходит на фоне того, что мошенничество с имитацией с помощью ИИ привело к рекордным потерям в криптовалюте, достигшим $17 миллиардов в 2025 году, при этом злоумышленники все чаще используют дипфейки, клонирование голосов и фальшивые личности для обмана жертв и получения доступа к средствам, согласно данным аналитической компании Chainalysis. Аналогичные атаки Атака, как описал Кучар, очень похожа на технику, впервые задокументированную компанией Huntress, которая сообщила в июле прошлого года, что эти злоумышленники заманивают целевого сотрудника криптоиндустрии в инсценированный звонок Zoom после первоначального контакта в Telegram, часто используя фальшивую ссылку на встречу, размещенную на поддельном домене Zoom.

Во время звонка злоумышленники утверждают, что есть проблема с аудио и инструктируют жертву установить, казалось бы, исправление, связанное с Zoom, которое на самом деле является вредоносным AppleScript, запускающим многоэтапную инфекцию macOS, — по данным Huntress. После выполнения скрипт отключает историю команд, проверяет или устанавливает Rosetta 2 (слой перевода) на устройствах с Apple Silicon и многократно запрашивает у пользователя пароль системы для получения повышенных привилегий. Исследование показало, что цепочка вредоносного ПО устанавливает несколько полезных нагрузок, включая постоянные бэкдоры, инструменты для логирования клавиш и буфера обмена, а также крадущие криптовалютные кошельки, — аналогичная последовательность, на которую указал Кучар, когда в понедельник сообщил, что его аккаунт в Telegram был взломан и позже использован для атаки на других. Социальные паттерны Специалисты по безопасности из Huntress с высокой уверенностью связали взлом с продвинутой постоянной угрозой, связанной с Северной Кореей, отслеживаемой как TA444, также известной как BlueNoroff и под несколькими другими псевдонимами, действующей под эгидой Lazarus Group, государственной группировки, занимающейся кражей криптовалют с 2017 года как минимум. На вопрос о целях этих кампаний и о наличии связи между ними, Шань Чжан, главный специалист по информационной безопасности в блокчейн-компании Slowmist, заявил Decrypt, что последний взлом Кучара «возможно» связан с более широкими кампаниями Lazarus Group. «В кампаниях явно прослеживается повторное использование. Мы постоянно наблюдаем целенаправленные атаки на конкретные кошельки и использование очень похожих скриптов установки», — сказал Дэвид Либерман, соучредитель децентрализованной сети AI-вычислений Gonka, в Decrypt. Изображения и видео «больше не могут рассматриваться как надежное доказательство подлинности», — отметил Либерман, добавив, что цифровой контент «должен быть криптографически подписан его создателем, и такие подписи должны требовать многофакторной авторизации». Нарративы, в таких случаях, стали «важным сигналом для отслеживания и обнаружения», поскольку эти атаки «опираются на знакомые социальные паттерны», — сказал он.

Группа Lazarus из Северной Кореи связана с кампаниями против криптовалютных компаний, работников и разработчиков, используя специально разработанное вредоносное ПО и сложные социальные инженерные схемы для кражи цифровых активов и получения доступа к учетным данным.