Deepfake Zoom诈骗袭击加密内部人士，BTC布拉格联合创始人警告Mac恶意软件

主要要点：

• 加密货币内部人士正受到深度伪造视频通话的攻击，传播macOS恶意软件
• BTC Prague联合创始人Martin Kuchař表示，他被盗的Telegram账户被用来传播攻击
• 该行动与与朝鲜有关的BlueNoroff黑客的战术相匹配

一波高度针对性的加密诈骗利用深度伪造视频、关系联系人和流行的工作工具。BTC Prague联合创始人Martin Kuchař透露，攻击者控制了他的Telegram账户，诱导他人通过Zoom和Teams视频通话下载恶意软件。

阅读更多：$5000万秒失：复制粘贴钱包错误引发加密货币最昂贵的地址诈骗之一

目录

• 深度伪造视频通话作为入门点
• 与朝鲜有关的恶意软件链针对Mac用户
  • Mac感染的工作原理
  • 加密盗窃行动变得更加复杂

深度伪造视频通话作为入门点

Kuchař警告说，攻击通常从Telegram或其他平台上可信联系人发来的消息开始。受害者会收到讨论事项的邀请，或在Zoom或Microsoft Teams中快速同步。

接到电话后，攻击者通过AI生成的深度伪造视频冒充可信联系人。他们声称存在音频问题，并要求受害者安装特定插件或文件以解决问题。该文件让攻击者可以完全访问系统。

据Kuchař介绍，这种方法导致比特币被盗、Telegram账户被接管，以及通过劫持身份进一步传播诈骗。他敦促用户将所有Telegram消息视为不可信，避免未验证的Zoom或Teams通话。

阅读更多：黑客劫持Binance联合CEO易赫的微信，推送迷因币骗局，引发市场狂潮

与朝鲜有关的恶意软件链针对Mac用户

Kuchař分享的技术细节与网络安全公司Huntress的研究一致，该公司追踪到类似攻击与BlueNoroff有关，后者是与朝鲜拉撒路斯集团有关的黑客组织。

Mac感染的工作原理

攻击始于一个伪造的Zoom域名，带有虚假的会议链接。当受害者发起通话时，会被建议下载名为Zoom support script的文件。实际上，该文件被AppleScript感染，启动多阶段攻击。

恶意软件工具包包括：

• Telegram 2，一个伪造的更新程序，保持持久性
• Root Troy V4，一个远程访问后门
• InjectWithDyld，一个用于加密载荷的隐形加载器
• XScreen，一个监控工具，记录键盘输入和屏幕活动
• CryptoBot，一个针对20多个加密钱包的信息窃取器

研究人员指出，恶意软件会利用有效的开发者签名，并在Apple Silicon设备上安装Rosetta，以规避检测。这使得攻击不易被发现，尤其是那些误以为自己系统不易受到攻击的Mac用户。

加密盗窃行动变得更加复杂

Huntress的研究人员指出，Mac是一个极佳的目标，因为越来越多的加密团体在企业中部署Mac。深度伪造视频在可信度方面具有强大作用，将实时图像与已知平台结合。

Kuchař强调的基本安全习惯帮助他减少了损失。他强调使用双因素认证、密码管理方案和硬件钱包。他还建议使用更安全的通信工具，如Signal或Jitsi，以及比Google Meet更安全的浏览器，以实现更好的沙箱环境。