Peretas Korea Utara menggunakan AI untuk membuat video deepfake dan menyerang industri kripto: Isi clipboard menjadi target baru pencurian data

Industri kripto menghadapi babak baru ancaman dari utara. Melalui panggilan video yang dihasilkan AI, peretas yang menyamar sebagai kenalan meluncurkan serangan pekerja sosial yang semakin canggih terhadap para profesional kripto. Penyerang ini tidak hanya memalsukan identitas visual tetapi juga menyebarkan program berbahaya tingkat lanjut di perangkat korban untuk mencuri kunci dompet dan data rahasia dengan secara otomatis membaca konten clipboard saat dibuka.

Panggilan Video AI: Jenis phishing baru yang menyamarkan identitas

Menurut perusahaan riset keamanan Huntress, serangan ini biasanya diluncurkan melalui akun Telegram yang disusupi. Penyerang menggunakan teknologi AI untuk menghasilkan rekaman video yang realistis, menyamar sebagai kolega korban atau orang dalam industri tepercaya. Selama panggilan video, mereka mengelabui pengguna untuk menginstal “plugin” yang tampaknya tidak berbahaya dengan berbagai alasan, seperti masalah audio Zoom yang perlu diperbaiki. Perangkat lunak ini, yang tampaknya memecahkan masalah teknis, sebenarnya adalah program berbahaya yang disamarkan dengan hati-hati.

Infeksi Multi-Level: Dari Backdoor hingga Kebocoran Clipboard

Setelah pengguna tertipu untuk menginstal program berbahaya ini, penyerang dapat membahayakan perangkat macOS target di berbagai tingkatan. Pertama, penyerang menyebarkan backdoor dalam sistem untuk memastikan akses jarak jauh jangka panjang. Selanjutnya, skrip berbahaya mulai melakukan pendengaran keyboard, merekam setiap penekanan tombol pengguna—apakah itu kata sandi pertukaran atau kunci pribadi—yang tidak dapat lepas dari pelacakan.

Yang lebih berbahaya adalah program ini mampu memantau dan mencegat konten clipboard secara real time. Saat pengguna menyalin informasi sensitif, penyerang secara otomatis mendapatkannya. Ini berarti bahwa setiap operasi tempel – alamat transfer, fragmen kunci, instruksi transaksi – dapat dicegat. Penyerang tidak hanya mencuri data statis tetapi juga mendapatkan akses ke informasi sensitif terbaru pada saat-saat kritis dalam operasi pengguna, menyediakan akses langsung ke aset di dompet kripto.

Operasi tingkat negara Lazarus Group

Kepala keamanan informasi di perusahaan keamanan SlowMist mengkonfirmasi bahwa serangan rumit ini berasal dari Lazarus Group, juga dikenal sebagai BlueNoroff, sebuah kelompok peretasan canggih yang didukung oleh negara Korea Utara. Kelompok ini telah melakukan beberapa serangan skala besar terhadap pengembang dan bursa cryptocurrency. Acara ini menampilkan penggunaan kembali fitur yang jelas – teknik teknis yang sama digunakan untuk berbagai tujuan, terutama menargetkan dompet tertentu dan tokoh kunci dalam industri kripto.

Analisis Huntress menunjukkan bahwa serangan ini secara teknis mirip dengan aktivitas kelompok sebelumnya, menunjukkan bahwa itu adalah serangan terorganisir dan berkelanjutan daripada insiden satu kali sporadis.

Dilema dan pertahanan otentikasi

Dengan meningkatnya kematangan teknologi seperti pertukaran wajah AI dan kloning suara, memverifikasi identitas melalui penglihatan dan audio menjadi semakin tidak dapat diandalkan. Pengguna tidak dapat lagi mengidentifikasi satu sama lain hanya berdasarkan apa yang mereka lihat dan dengar.

Untuk memerangi ancaman ini, pelaku industri kripto perlu mengadopsi strategi pertahanan multi-cabang. Pertama, perkuat otentikasi multi-faktor – Anda tidak dapat mengandalkan satu metode otentikasi. Kedua, waspadalah terhadap panggilan video dari orang asing, terutama dalam hal permintaan untuk menginstal perangkat lunak. Ketiga, perbarui sistem dan aplikasi secara teratur untuk mematikan izin yang tidak perlu. Sangat penting untuk menyadari bahwa bahkan panggilan video yang tampaknya berasal dari kenalan dapat dipalsukan dengan hati-hati, dan setiap permintaan yang melibatkan izin tingkat sistem atau operasi sensitif harus diverifikasi melalui saluran independen.