與朝鮮有關聯的黑客利用深度偽造視頻通話攻擊加密貨幣從業者

與朝鮮有關聯的黑客繼續利用實時視頻通話（包括人工智能生成的深度偽造視頻）誘騙加密貨幣開發者和從業人員在自己的設備上安裝惡意軟件。

btc Prague 聯合創始人 Martin Kuchař 披露的最新案例中，攻擊者利用被盜用的 Telegram 帳戶和偽造的視頻通話推送偽裝成 Zoom 音頻修復程序的惡意軟件。

庫查爾表示，這場“高級別黑客攻擊活動”似乎“目標是比特幣和加密貨幣用戶”。 披露週四在 X 頻道播出。

庫查爾解釋說，攻擊者會聯繫受害者，並安排Zoom或Teams通話。 通話期間，他們會使用人工智能生成的視頻，偽裝成受害者認識的人。

他們隨後聲稱存在音頻問題，並要求受害者安裝插件或文件來修復。 一旦安裝完成，惡意軟件就會授予攻擊者完全的系統訪問權限，使他們能夠竊取比特幣、接管 Telegram 賬戶，並利用這些賬戶攻擊其他人。

與此同時，人工智能驅動的身份冒用詐騙已將加密貨幣相關的損失推高至……創紀錄的170億美元根據區塊鏈分析公司 Chainalysis 的數據，到 2025 年，攻擊者將越來越多地使用深度偽造視頻、語音克隆和虛假身份來欺騙受害者並獲取資金。

類似襲擊

庫查爾對這次襲擊的描述與以下情況非常吻合：技術網絡安全公司 Huntress 最早記錄了此類攻擊，該公司在去年 7 月報導稱，這些攻擊者在 Telegram 上與目標加密貨幣工作者建立初步聯繫後，會誘騙他們參加精心安排的 Zoom 通話，他們通常使用託管在偽造的 Zoom 域名上的虛假會議鏈接。

據 Huntress 稱，在通話過程中，攻擊者會聲稱存在音頻問題，並指示受害者安裝看似與 Zoom 相關的修復程序，而實際上這是一個惡意 AppleScrIPt，它會啟動多階段的 macOS 感染。

腳本執行後，會禁用 shell 歷史記錄，檢查 Apple Silicon 設備上是否存在 Rosetta 2（一個翻譯層），或者安裝 Rosetta 2，並反复提示用戶輸入系統密碼以獲取提升的權限。

該研究發現，惡意軟件鏈會安裝多種有效載荷，包括持久性後門、鍵盤記錄器和剪貼板工具以及加密錢包竊取程序。 庫查爾週一披露其 Telegram 帳戶被入侵時，也提到了類似的程序順序。 受損後來又被用來以同樣的方式攻擊其他人。

社會模式

Huntress 的安全研究人員高度確信此次入侵是由與朝鮮有關聯的高級持續性威脅 (APT) 造成的，該威脅被追踪為 TA444，也稱為 BlueNoroff 以及其他幾個別名，這些別名都隸屬於 Lazarus Group。 國家資助的團體自 2017 年以來，一直專注於加密貨幣盜竊。

當被問及這些行動的運營目標以及他們是否認為兩者之間存在關聯時，區塊鏈安全公司Slowmist的首席信息安全官張珊（Shān Zhang）表示解密庫查爾最近遭受的襲擊“可能”與拉撒路集團的更廣泛行動有關。

“不同營銷活動中存在明顯的重複使用現象。我們不斷發現針對特定錢包的定向攻擊，以及使用非常相似的安裝腳本，”去中心化人工智能計算網絡 Gonka 的聯合創始人 David Liberman 表示。 解密.

利伯曼表示，圖像和視頻“不能再被視為可靠的真實性證明”，並補充說，數字內容“應該由其創建者進行加密簽名，並且此類簽名應該需要多因素授權”。

他說，在這樣的背景下，敘事已經成為“追踪和檢測的重要信號”，因為這些攻擊“依賴於熟悉的社會模式”。

朝鮮的拉撒路集團與反對加密貨幣的運動有關。 公司,工人， 和開發人員利用定制惡意軟件和復雜的社會工程手段竊取數字資產和訪問憑證。