Северокорейские хакеры используют ИИ для глубокого подделывания видео и вторжений в криптоиндустрию: содержимое буфера обмена становится новой целью для кражи информации

Криптоиндустрия сталкивается с новой волной угроз с севера. С помощью видеозвонков, созданных ИИ, хакеры, выдающие себя за знакомых, запускают всё более сложные атаки социальных работников на криптопрофессионалов. Эти злоумышленники не только подделывают визуальные личности, но и внедряют продвинутые вредоносные программы на устройство жертвы для кражи ключей кошельков и конфиденциальных данных, автоматически считывая содержимое буфера обмена при их открытии.

Видеозвонки с помощью ИИ: новый тип фишинга, который маскирует личность

По данным исследовательской компании Huntress, эти атаки обычно проводятся через скомпрометированные аккаунты Telegram. Злоумышленники используют технологии ИИ для создания реалистичных видеозаписей, выдая себя за коллег жертвы или доверенных представителей отрасли. Во время видеозвонков они обманывают пользователей, заставляя устанавливать, казалось бы, безобидные «плагины» под разными оправданиями, например, проблемы с звуком Zoom, которые нужно исправить. Это программное обеспечение, которое, по-видимому, решает технические проблемы, на самом деле является вредоносной программой, тщательно замаскированной.

Многоуровневая инфекция: от бэкдора до утечек из буфера обмена

После того как пользователей обманывают и устанавливают эти вредоносные программы, злоумышленники могут скомпрометировать целевое устройство macOS на нескольких уровнях. Во-первых, злоумышленники внедряют бэкдоры в системе для обеспечения долгосрочного удалённого доступа. Впоследствии вредоносный скрипт начал выполнять прослушивание с клавиатуры, записывая каждое нажатие клавиши пользователя — будь то пароль от обмена или приватный ключ — который не мог избежать отслеживания.

Ещё более опасно то, что эти программы способны отслеживать и перехватывать содержимое буфера обмена в реальном времени. Когда пользователь копирует конфиденциальную информацию, злоумышленник автоматически её получает. Это означает, что любая операция вставки — адрес передачи, фрагмент ключа, инструкция транзакции — может быть перехвачен. Злоумышленники не только крадут статические данные, но и получают доступ к самой конфиденциальной информации в критические моменты операций пользователей, предоставляя прямой доступ к активам в криптокошельках.

Операции Lazarus Group на национальном уровне

Глава информационной безопасности компании SlowMist подтвердил, что эти сложные атаки исходили от группы Lazarus, также известной как BlueNoroff, продвинутой хакерской группы, поддерживаемой северокорейским государством. Группа провела несколько крупномасштабных атак против разработчиков криптовалют и бирж. Мероприятие продемонстрировало явное повторное использование функций — одни и те же технические техники применялись для различных целей, особенно для конкретных кошельков и ключевых фигур криптоиндустрии.

Анализ Хантресс показал, что эти атаки технически были схожи с предыдущей деятельностью группы, что указывает на организованную, продолжительную атаку, а не случайный инцидент.

Дилеммы и защита аутентификации

С ростом зрелости технологий, таких как подмена лиц с помощью ИИ и клонирование голоса, проверка личности через зрение и аудио становится всё менее надёжной. Пользователи больше не могут идентифицировать друг друга только по тому, что они видят и слышат.

Чтобы противостоять этим угрозам, игрокам криптоиндустрии необходимо принять многостороннюю оборонительную стратегию. Во-первых, усилите многофакторную аутентификацию — нельзя полагаться на один метод аутентификации. Во-вторых, будьте осторожны с видеозвонками от незнакомцев, особенно когда речь идёт о запросах на установку программного обеспечения. В-третьих, регулярно обновляйте системы и приложения, чтобы отключить ненужные права. Важно понимать, что даже видеозвонки, которые кажутся от знакомых, могут быть тщательно подделаны, а любые запросы, связанные с системными разрешениями или конфиденциальными операциями, должны проверяться через независимые каналы.