与朝鲜有关的黑客持续使用直播视频通话,包括AI生成的深度伪造,诱骗加密货币开发者和工作人员在自己的设备上安装恶意软件。 据BTC布拉格联合创始人Martin Kuchař披露,最新事件中,攻击者利用被攻陷的Telegram账户和伪造的视频通话,推送伪装成Zoom音频修复的恶意软件,他说。 Kuchař在X(前Twitter)上周四披露,这场“高级黑客行动”似乎“针对比特币和加密货币用户”。
Kuchař解释,攻击者联系受害者并安排Zoom或Teams通话。在通话中,他们使用AI生成的视频,表现得像受害者认识的人。 然后他们声称存在音频问题,要求受害者安装一个插件或文件以修复问题。一旦安装,恶意软件就会赋予攻击者完全的系统访问权限,使他们能够窃取比特币、接管Telegram账户,并利用这些账户攻击其他人。 随着AI驱动的冒充诈骗推动加密相关损失在2025年达到创纪录的170亿美元,攻击者越来越多地使用深度伪造视频、声音克隆和假身份来欺骗受害者并获取资金,根据区块链分析公司Chainalysis的数据。 类似攻击 如Kuchař所述,这次攻击与网络安全公司Huntress在去年7月首次记录的一种技术非常相似。Huntress报告称,这些攻击者在Telegram初次联系后,诱导目标加密货币工作人员进入伪造的Zoom会议,通常使用伪造的Zoom域名托管的虚假会议链接。
在通话中,攻击者会声称存在音频问题,并指示受害者安装看似与Zoom相关的修复程序,实际上是一段启动多阶段macOS感染的恶意AppleScript,据Huntress称。 执行后,该脚本会禁用shell历史记录,检查或在Apple Silicon设备上安装Rosetta 2(翻译层),并反复提示用户输入系统密码以获得提升权限。 研究发现,该恶意软件链会安装多个载荷,包括持久后门、键盘记录和剪贴板工具,以及加密钱包窃取器,Kuchař在周一披露他的Telegram账户被攻破后,后来被用来以相同方式攻击他人,也采用了类似的序列。 社会模式 Huntress的安全研究人员高度确认此次入侵与朝鲜相关的高级持续威胁TA444(也称BlueNoroff)有关,该组织自2017年以来一直专注于加密货币盗窃,是一个由国家支持的团体,使用定制的恶意软件和复杂的社会工程手段窃取数字资产和访问凭证。 当被问及这些行动的目标以及是否存在关联时,区块链安全公司Slowmist的首席信息安全官Shān Zhang告诉_Decrypt_,对Kuchař的最新攻击“可能”与拉撒路斯集团的更广泛行动有关。 “不同活动之间存在明显的重复使用。我们经常看到针对特定钱包的攻击,以及使用非常相似的安装脚本,”去中心化AI计算网络Gonka的联合创始人David Liberman告诉_Decrypt_。 Liberman表示,“图像和视频”“不再能被视为可靠的真实性证明”,他补充说,数字内容“应由其创建者进行密码学签名,这些签名应要求多因素验证。” 在这种情况下,叙事已成为“追踪和检测的重要信号”,因为这些攻击“依赖于熟悉的社会模式”,他说。
朝鲜的拉撒路斯集团与针对加密货币公司、工作人员和开发者的行动有关,使用定制的恶意软件和复杂的社会工程手段窃取数字资产和访问凭证。
