2
Хакеры, связанные с Северной Кореей, продолжают использовать видеозвонки в реальном времени, в том числе дипфейки, созданные искусственным интеллектом, чтобы обманом заставить разработчиков и сотрудников криптоиндустрии установить вредоносное ПО на свои устройства.
По словам соучредителя BTC Prague Мартина Кухаржа, в последнем случае злоумышленники использовали взломанную учётную запись в Telegram и инсценированный видеозвонок, чтобы распространить вредоносное ПО, замаскированное под аудиоприложение Zoom.
«Высокоуровневая хакерская кампания», судя по всему, «нацелена на пользователей биткоина и криптовалют», — сообщил Кухарж раскрыто в четверг на X.
Это происходит на фоне того, что из-за мошенничества с использованием искусственного интеллекта убытки, связанные с криптовалютами, достигли рекордных 17 миллиардов долларов в 2025 году. По данным аналитической компании Chainalysis, специализирующейся на блокчейне, злоумышленники всё чаще используют дипфейки, клонирование голоса и поддельные личности, чтобы обмануть жертв и получить доступ к средствам.
Подобные атаки
Атака, описанная Кухаржем, очень похожа на метод, впервые задокументированный компанией Huntress, специализирующейся на кибербезопасности. В июле прошлого года компания сообщила, что злоумышленники заманивают криптоинвесторов на поддельный звонок в Zoom после первого контакта в Telegram, часто используя поддельную ссылку на встречу, размещенную на поддельном домене Zoom.
По словам Хантресс, во время звонка злоумышленники утверждали, что у них проблемы со звуком, и предлагали жертве установить якобы исправление для Zoom, которое на самом деле представляло собой вредоносный AppleScript, запускающий многоэтапную заражение macOS.
После запуска скрипт отключает историю команд, проверяет наличие или устанавливает Rosetta 2 (уровень трансляции) на устройствах Apple Silicon, а также несколько раз запрашивает у пользователя системный пароль для получения повышенных привилегий.
Исследование показало, что вредоносная цепочка устанавливает несколько полезных программ, в том числе постоянные бэкдоры, инструменты для перехвата нажатий клавиш и буфера обмена, а также программы для кражи криптовалютных кошельков. На аналогичную последовательность указал Кухарж, когда в понедельник сообщил, что его аккаунт в Telegram был взломани позже использовался для того же самого в отношении других пользователей.
Социальные паттерны
Исследователи в области кибербезопасности из компании Huntress с высокой долей вероятности связывают вторжение с продвинутой постоянной угрозой, связанной с Северной Кореей, которая отслеживается как TA444, также известная как BlueNoroff и под несколькими другими псевдонимами, объединенными общим названием Lazarus Group, спонсируемая государством группазанимающаяся кражей криптовалют как минимум с 2017 года.
На вопрос о целях этих кампаний и о том, считают ли они, что между ними есть связь, Шан Чжан, директор по информационной безопасности компании Slowmist, специализирующейся на безопасности блокчейна, ответил Decrypt, что последняя атака на Kuchař «возможно» связана с более масштабными кампаниями Lazarus Group.
Изображения и видео «больше не могут считаться надёжным доказательством подлинности», — заявил Либерман, добавив, что цифровой контент «должен быть криптографически подписан его создателем, а для таких подписей должна требоваться многофакторная авторизация».
По его словам, нарративы в подобных контекстах стали «важным сигналом для отслеживания и выявления», поскольку эти атаки «основаны на привычных социальных моделях».
Северокорейская группировка Lazarus связана с кампаниями против криптовалютных фирм, работников и разработчиков, которые используют специально разработанные вредоносные программы и изощрённую социальную инженерию для кражи цифровых активов и учётных данных.
forklog.com
crypto.ru + 1 больше