与朝鲜有关联的黑客继续利用实时视频通话(包括人工智能生成的深度伪造视频)诱骗加密货币开发者和从业人员在自己的设备上安装恶意软件。
BTC Prague 联合创始人 Martin Kuchař 披露的最新案例中,攻击者利用被盗用的 Telegram 帐户和伪造的视频通话推送伪装成 Zoom 音频修复程序的恶意软件。
Kuchař周四在X上透露,这场“高级别的黑客攻击活动”似乎“针对的是比特币和加密货币用户”。
库查尔解释说,攻击者会联系受害者,并安排Zoom或Teams通话。通话期间,他们会使用人工智能生成的视频,伪装成受害者认识的人。
他们随后声称存在音频问题,并要求受害者安装插件或文件来修复。一旦安装完成,恶意软件就会授予攻击者完全的系统访问权限,使他们能够窃取比特币、接管 Telegram 账户,并利用这些账户攻击其他人。
据区块链分析公司 Chainalysis 的数据显示,人工智能驱动的身份冒用诈骗已将加密货币相关损失推高至创纪录的 170 亿美元(预计 2025 年),攻击者越来越多地使用深度伪造视频、语音克隆和虚假身份来欺骗受害者并获取资金。
库查尔描述的这种攻击与网络安全公司 Huntress 去年 7 月首次记录的一种技术非常相似。Huntress 报告称,这些攻击者在 Telegram 上与目标加密货币工作者进行初步联系后,会诱骗他们参加一个精心安排的 Zoom 通话,他们通常使用托管在伪造的 Zoom 域名上的虚假会议链接。
据 Huntress 称,在通话过程中,攻击者会声称存在音频问题,并指示受害者安装看似与 Zoom 相关的修复程序,而实际上这是一个恶意 AppleScript,它会启动多阶段的 macOS 感染。
脚本执行后,会禁用 shell 历史记录,检查 Apple Silicon 设备上是否存在 Rosetta 2(一个翻译层),或者安装 Rosetta 2,并反复提示用户输入系统密码以获取提升的权限。
该研究发现,恶意软件链会安装多个有效载荷,包括持久后门、键盘记录和剪贴板工具以及加密钱包窃取程序。库查尔周一披露他的 Telegram 帐户被盗用,后来又以同样的方式被用来攻击其他人,他所指出的序列与此类似。
Huntress 的安全研究人员高度确信此次入侵是由与朝鲜有关的高级持续性威胁 TA444 造成的,该威胁又被称为 BlueNoroff,并以 Lazarus Group 的名义运营,这是一个由国家支持的组织,至少从 2017 年起就专注于加密货币盗窃。
当被问及这些攻击活动的运作目标以及他们是否认为两者之间存在关联时,区块链安全公司 Slowmist 的首席信息安全官张珊告诉Decrypt ,最近对 Kuchař 的攻击“可能”与 Lazarus Group 的更广泛攻击活动有关。
“很明显,各个营销活动之间存在重复使用的情况。我们不断看到针对特定钱包的定向攻击,以及使用非常相似的安装脚本,”去中心化人工智能计算网络 Gonka 的联合创始人 David Liberman 告诉Decrypt 。
利伯曼表示,图像和视频“不能再被视为可靠的真实性证明”,并补充说,数字内容“应该由其创建者进行加密签名,并且此类签名应该需要多因素授权”。
他说,在这样的背景下,叙事已经成为“追踪和检测的重要信号”,因为这些攻击“依赖于熟悉的社会模式”。
朝鲜的拉撒路集团与针对加密货币公司、 员工和开发者的活动有关,他们使用定制的恶意软件和复杂的社会工程手段来窃取数字资产和访问凭证。
