币币情报道:
与朝鲜有关联的黑客组织正通过实时视频通话结合人工智能生成的深度伪造视频,针对加密货币开发者和从业者实施精准攻击,诱导他们在设备上安装恶意软件。
BTC Prague 联合创始人 Martin Kuchař 披露了一起最新案例,攻击者通过盗用的 Telegram 帐户安排伪造的视频通话,并伪装成 Zoom 音频修复程序推送恶意软件。
库查尔指出,这场“高级别黑客攻击活动”似乎专门针对比特币和加密货币用户。他在周四通过 X 平台(原 Twitter)公开披露了这一事件。
据库查尔描述,攻击者会联系受害者并安排 Zoom 或 Teams 视频通话。在通话过程中,他们使用人工智能生成的伪造视频伪装成受害者熟悉的人,随后声称存在音频问题,要求受害者安装所谓的“修复工具”。一旦安装完成,恶意软件便会授予攻击者对系统的完全访问权限,从而窃取比特币、接管 Telegram 账户,并进一步攻击其他目标。
区块链分析公司 Chainalysis 的数据显示,随着人工智能驱动的身份冒用诈骗日益猖獗,加密货币相关损失已飙升至创纪录的 170 亿美元。预计到 2025 年,攻击者将更多地依赖深度伪造视频、语音克隆和虚假身份来欺骗受害者并获取资金。
类似袭击案例
库查尔的描述与网络安全公司 Huntress 早前记录的一系列攻击高度吻合。Huntress 在去年 7 月报告称,这些攻击者通常通过 Telegram 与加密货币从业者建立初步联系,随后诱骗他们参加伪造的 Zoom 通话,这些会议链接通常托管在伪造的 Zoom 域名上。
据 Huntress 称,在通话期间,攻击者会以音频问题为由,指示受害者安装看似与 Zoom 相关的修复程序,而实际上这是一个恶意 AppleScript,能够触发多阶段的 macOS 感染。
脚本执行后,会禁用 shell 历史记录,检查 Apple Silicon 设备上是否存在 Rosetta 2(一个翻译层),或者安装 Rosetta 2,并反复提示用户输入系统密码以获取提升的权限。
研究发现,该恶意软件链会安装多种有效载荷,包括持久性后门、键盘记录器、剪贴板工具以及加密钱包窃取程序。库查尔周一披露其 Telegram 帐户被入侵时,也提到了类似的程序顺序,而该帐户后来又被用于攻击其他人。
社会工程学模式
Huntress 的安全研究人员高度确信,此次入侵是由与朝鲜有关联的高级持续性威胁 (APT) 组织发起的,该组织被追踪为 TA444,也称为 BlueNoroff,隶属于 Lazarus Group。国家资助的团体自 2017 年以来,一直专注于加密货币盗窃。
当被问及这些行动的运营目标以及是否认为它们之间存在关联时,区块链安全公司 Slowmist 的首席信息安全官张珊表示,库查尔最近遭受的攻击“可能”与 Lazarus Group 的更广泛行动有关。
去中心化人工智能计算网络 Gonka 的联合创始人 David Liberman 表示:“不同营销活动中存在明显的重复使用现象。我们不断发现针对特定钱包的定向攻击,以及使用非常相似的安装脚本。”
利伯曼警告称,图像和视频“不能再被视为可靠的真实性证明”,并建议数字内容应由创建者进行加密签名,且此类签名需要多因素授权。
他补充道,在这种背景下,叙事已成为“追踪和检测的重要信号”,因为这些攻击“依赖于熟悉的社会模式”。
朝鲜的 Lazarus Group 以其针对加密货币行业的定制恶意软件和复杂社会工程手段闻名,涉及多个领域,包括公司、工人和开发人员。
首页
快讯