Через видео звонки с дипфейком: как северокорейские хакеры атакуют крипто-профессионалов

Хакеры, работающие под руководством Северной Кореи, расширяют арсенал своих методов атак на специалистов криптоиндустрии. Новый подход — использование видео звонков с ИИ-сгенерированными дипфейками — позволяет злоумышленникам выдавать себя за знакомых или авторитетных контактов, после чего побуждать жертв установить вредоносное программное обеспечение. Этот способ показывает, насколько искусным стало применение технологий синтеза в целях кибератак.

Видео звонки как инструмент социальной инженерии

Согласно данным исследовательской компании Huntress, сценарий атаки разворачивается следующим образом: злоумышленники захватывают Telegram-аккаунты реальных людей, известных целевой жертве. Затем они инициируют видео звонки, во время которых лицо атакующего заменено на ИИ-сгенерированный дипфейк. Это обходит базовые проверки визуального подтверждения, которые обычно помогают выявить мошенничество.

Мартин Кухарж, соорганизатор конференции BTC Prague, поделился информацией о конкретном методе: обманчивый видео звонок сопровождается предложением установить якобы исправляющий плагин для Zoom, якобы для решения проблем со звуком. После установки вредоноса атакующие получают полный доступ к зараженному устройству и могут похищать криптоактивы, переписку и другие критически важные данные.

Технический анализ вредоноса: многоуровневая инфекция

Внедренный вредонос демонстрирует сложность и многофункциональность. На системах macOS зловредный код способен:

• развертывать бекдоры для удаленного управления устройством
• регистрировать нажатия клавиш пользователя
• копировать содержимое буфера обмена
• получать доступ к криптографически защищенным кошелькам и их приватным ключам

Такая функциональность позволяет хакерам не только скомпрометировать конкретное устройство, но и использовать его как плацдарм для дальнейших операций.

Lazarus Group и государственная поддержка

Исследователи из SlowMist и компании Huntress с высокой степенью уверенности идентифицировали авторов атак. Это северокорейская группа Lazarus Group, также известная под псевдонимом BlueNoroff. Группа получает финансирование и политическую поддержку государства, что позволяет ей постоянно совершенствовать методы взлома.

Характерная черта — переиспользование компонентов кода и техник атак во множественных операциях. Это указывает на централизованное управление и наличие долгосрочной стратегии нацеливания на криптоспециалистов и торговцев.

Как защитить себя от дипфейк-атак через видео звонки

Распространение технологий синтеза лиц и голоса делает видео и аудио ненадежными методами аутентификации. Отрасли требуется срочно переосмыслить подходы к проверке личности. Рекомендации включают:

• Включение многофакторной аутентификации (MFA) на всех критичных сервисах
• Использование аппаратных ключей безопасности вместо программных методов проверки
• Скептицизм к неожиданным видео звонкам — даже если звонящий кажется знакомым лицом
• Регулярное обновление операционных систем и программного обеспечения
• Обучение команды распознаванию социальной инженерии

Криптоиндустрия должна осознать масштаб угрозы и предпринять активные меры по укреплению своей защиты.