與朝鮮有關聯的黑客繼續利用實時視頻通話(包括人工智能生成的深度偽造視頻)誘騙加密貨幣開發者和從業人員在自己的設備上安裝惡意軟件。
BTC Prague 聯合創始人 Martin Kuchař 披露的最新案例中,攻擊者利用被盜用的 Telegram 帳戶和偽造的視頻通話推送偽裝成 Zoom 音頻修復程序的惡意軟件。
Kuchař週四在X上透露,這場“高級別的黑客攻擊活動”似乎“針對的是比特幣和加密貨幣用戶”。
庫查爾解釋說,攻擊者會聯繫受害者,並安排Zoom或Teams通話。通話期間,他們會使用人工智能生成的視頻,偽裝成受害者認識的人。
他們隨後聲稱存在音頻問題,並要求受害者安裝插件或文件來修復。一旦安裝完成,惡意軟件就會授予攻擊者完全的系統訪問權限,使他們能夠竊取比特幣、接管 Telegram 賬戶,並利用這些賬戶攻擊其他人。
據區塊鏈分析公司 Chainalysis 的數據顯示,人工智能驅動的身份冒用詐騙已將加密貨幣相關損失推高至創紀錄的 170 億美元(預計 2025 年),攻擊者越來越多地使用深度偽造視頻、語音克隆和虛假身份來欺騙受害者並獲取資金。
庫查爾描述的這種攻擊與網絡安全公司 Huntress 去年 7 月首次記錄的一種技術非常相似。Huntress 報告稱,這些攻擊者在 Telegram 上與目標加密貨幣工作者進行初步聯繫後,會誘騙他們參加一個精心安排的 Zoom 通話,他們通常使用託管在偽造的 Zoom 域名上的虛假會議鏈接。
據 Huntress 稱,在通話過程中,攻擊者會聲稱存在音頻問題,並指示受害者安裝看似與 Zoom 相關的修復程序,而實際上這是一個惡意 AppleScript,它會啟動多階段的 macOS 感染。
腳本執行後,會禁用 shell 歷史記錄,檢查 Apple Silicon 設備上是否存在 Rosetta 2(一個翻譯層),或者安裝 Rosetta 2,並反覆提示用戶輸入系統密碼以獲取提升的權限。
該研究發現,惡意軟件鏈會安裝多個有效載荷,包括持久後門、鍵盤記錄和剪貼板工具以及加密錢包竊取程序。庫查爾週一披露他的 Telegram 帳戶被盜用,後來又以同樣的方式被用來攻擊其他人,他所指出的序列與此類似。
Huntress 的安全研究人員高度確信此次入侵是由與朝鮮有關的高級持續性威脅 TA444 造成的,該威脅又被稱為 BlueNoroff,並以 Lazarus Group 的名義運營,這是一個由國家支持的組織,至少從 2017 年起就專注於加密貨幣盜竊。
當被問及這些攻擊活動的運作目標以及他們是否認為兩者之間存在關聯時,區塊鏈安全公司 Slowmist 的首席信息安全官張珊告訴Decrypt ,最近對 Kuchař 的攻擊“可能”與 Lazarus Group 的更廣泛攻擊活動有關。
“很明顯,各個營銷活動之間存在重複使用的情況。我們不斷看到針對特定錢包的定向攻擊,以及使用非常相似的安裝腳本,”去中心化人工智能計算網絡 Gonka 的聯合創始人 David Liberman 告訴Decrypt 。
利伯曼表示,圖像和視頻“不能再被視為可靠的真實性證明”,並補充說,數字內容“應該由其創建者進行加密簽名,並且此類簽名應該需要多因素授權”。
他說,在這樣的背景下,敘事已經成為“追蹤和檢測的重要信號”,因為這些攻擊“依賴於熟悉的社會模式”。
朝鮮的拉撒路集團與針對加密貨幣公司、 員工和開發者的活動有關,他們使用定製的惡意軟件和複雜的社會工程手段來竊取數字資產和訪問憑證。
