Північнокорейські хакери за допомогою ШІ створюють глибокі підробки відео для вторгнення в криптоіндустрію: вміст буфера обміну стає новою ціллю для крадіжки даних

Криптоіндустрія стикається з новим раундом загроз з півночі. За допомогою відеодзвінків, створених ШІ, хакери, які видають себе за знайомих, запускають дедалі складніші атаки соціальних працівників на криптопрофесіоналів. Ці зловмисники не лише підробляють візуальні особистості, а й розгортають передові шкідливі програми на пристрої жертви для викрадення ключів гаманця та конфіденційних даних, автоматично зчитуючи вміст буферів обміну при їх відкритті.

AI Video Calling: Новий тип фішингу, який маскує особистість

За даними дослідницької компанії Huntress, ці атаки зазвичай запускаються через скомпрометовані акаунти Telegram. Зловмисники використовують технології штучного інтелекту для створення реалістичних відеозаписів, видаючи себе за колег жертви або довірені інсайдери галузі. Під час відеодзвінків вони обманюють користувачів, змушуючи їх встановлювати, здавалося б, нешкідливі «плагіни» під різними відмовками, наприклад, проблеми з аудіо Zoom, які потрібно виправити. Це програмне забезпечення, яке, здається, вирішує технічні проблеми, насправді є шкідливою програмою, ретельно замаскованою.

Багаторівнева інфекція: від бекдору до витоків у планшеті

Після того, як користувачів обманом змусили встановити ці шкідливі програми, зловмисники можуть скомпрометувати цільовий пристрій macOS на кількох рівнях. По-перше, зловмисники розгортають бекдори в системі, щоб забезпечити довгостроковий віддалений доступ. Згодом шкідливий скрипт почав виконувати прослуховування клавіатури, записуючи кожен натиск клавіші користувача — чи то пароль від обміну, чи приватний ключ — який не міг уникнути відстеження.

Ще небезпечніше те, що ці програми здатні відстежувати та перехоплювати контент буферів обміну в режимі реального часу. Коли користувач копіює конфіденційну інформацію, зловмисник автоматично її отримує. Це означає, що будь-яку операцію вставки — адресу передачі, фрагмент ключа, інструкцію транзакції — можна перехопити. Зловмисники не лише крадуть статичні дані, а й отримують доступ до останньої чутливої інформації у критичні моменти операцій користувачів, забезпечуючи прямий доступ до активів у криптогаманцях.

Операції Lazarus Group на рівні країни

Керівник інформаційної безпеки компанії SlowMist підтвердив, що ці складні атаки були зроблені групою Lazarus, також відомою як BlueNoroff — передовою хакерською групою, яку підтримує північнокорейська держава. Група здійснила кілька масштабних атак на розробників криптовалют та біржі. Захід продемонстрував чітке повторне використання функцій — ті самі технічні техніки застосовувалися для різних цілей, особливо для конкретних гаманців і ключових фігур у криптоіндустрії.

Аналіз Гантресс показав, що ці атаки технічно були схожі на попередню діяльність групи, що свідчить про організовану, тривалу атаку, а не поодинокий випадок.

Дилеми та захисти автентифікації

Зі зростанням зрілості технологій, таких як обмін обличчями ШІ та клонування голосу, перевірка особистостей за допомогою зору та аудіо стає дедалі менш надійною. Користувачі більше не можуть ідентифікувати одне одного лише за тим, що вони бачать і чують.

Щоб протистояти цим загрозам, гравцям криптоіндустрії потрібно впроваджувати багатосторонню оборонну стратегію. По-перше, посиліть багатофакторну автентифікацію — ви не можете покладатися лише на один метод автентифікації. По-друге, будьте обережні з відеодзвінками від незнайомців, особливо коли йдеться про запити на встановлення програмного забезпечення. По-третє, регулярно оновлюйте системи та додатки, щоб вимкнути непотрібні дозволи. Важливо пам’ятати, що навіть відеодзвінки, які, здається, від знайомих, можуть бути ретельно підроблені, а будь-які запити, пов’язані з системними дозволами або конфіденційними операціями, слід перевіряти через незалежні канали.