Клонування телефону та ІІ дипфейки: як північнокорейські хакери атакують криптопрофесіоналів

Криптоіндустрія стикнулася з новою хвилею кіберзагроз. Північнокорейські хакери, пов’язані з Lazarus Group, застосовують інноваційні методи атак, включаючи глибоку інтеграцію технологій клонування телефону та ІІ-генерованих відео. Ця комбінація дозволяє їм з безпрецедентною ефективністю проникати в системи криптопрофесіоналів і викрадати цифрові активи.

За інформацією дослідницьких компаній, зокрема Odaily і Huntress, зловмисники використовують скомпрометовані Telegram-аккаунти для ініціювання відеодзвінків з підробленими особами. Вони видають себе за знайомих, колег або довірених осіб, щоб переконати жертв у необхідності встановлення шкідливого програмного забезпечення.

Відеодзвінки з підробленими особами: нова тактика Lazarus Group

Мартін Кухарж, співзасновник конференції BTC Prague, поділився деталями однієї з таких спроб. Атакуючі ініціюють відеодзвінки через зламані акаунти і використовують ІІ-згенеровані дипфейки для підробки особистості. Під приводом виправлення проблем із звуком у Zoom вони переконують користувачів завантажити спеціальний “плагін” або “оновлення”.

Це виявляється саме тією точкою входу, через яку здійснюється клонування телефону і встановлення багаторівневого шкідливого програмного забезпечення. Жертва, думаючи, що вирішує технічну проблему, фактично надає хакерам повний доступ до свого пристрою.

Багатошарова інфекція: як шкідливе ПО захоплює пристрої

Дослідження компанії Huntress виявили, що завантажені скрипти здатні виконувати складні операції на пристроях macOS. Інфіковане обладнання стає мішенню для впровадження бекдорів — прихованих входів, через які хакери можуть повертатися до системи у будь-який момент.

Можливості шкідливого програмного забезпечення виходять далеко за межі простого шпигунства:

• Запис усіх натискань клавіш (включаючи паролі та коди доступу)
• Перехоплення вмісту буфера обміну (де може міститися інформація про гаманці)
• Отримання доступу до зашифрованих активів і криптовалютних гаманців
• Клонування даних пристрою для використання у подальших операціях

Клонування пристроїв і крадіжка крипто-активів

Фахівці з SlowMist відзначають, що ці операції демонструють чіткі ознаки планомірної кампанії проти конкретних цілей. Кожна атака ретельно спланована і адаптована під конкретного криптопрофесіонала або гаманець.

Група, відома також як BlueNoroff, використовує дані про клонування пристрою не лише для короткострокового доступу, а й для довгострокового контролю. Вони можуть відстежувати транзакції, слідкувати за рухом активів і чекати ідеального моменту для їх викрадення.

Особливо небезпечно, що клонування телефону дозволяє зловмисникам обійти стандартні методи двофакторної аутентифікації, які базуються на СМС-кодах, що надсилаються на пристрій жертви.

Захист від просунутих атак: практичні заходи безпеки

З поширенням технологій клонування голосу і обличчя відео- та аудіоматеріали більше не є надійним способом перевірки автентичності. Криптоіндустрія має терміново переосмислити свій підхід до безпеки.

Експерти рекомендують впроваджувати наступні заходи:

• Багатофакторна аутентифікація (MFA) — не покладатися лише на СМС, використовувати апаратні ключі безпеки
• Верифікація особистості через незалежні канали — зателефонувати на відомий номер, якщо сумніваєтеся у справжності відеодзвінка
• Регулярні оновлення безпеки — постійно оновлювати ПО і додатки для закриття вразливостей
• Моніторинг пристроїв — слідкувати за незвичайною активністю, підозрілими процесами, змінами в системі
• Ізоляція критичних активів — зберігати великі суми на холодних гаманцях, не підключених до інтернету

Північнокорейські хакери продовжують удосконалювати свою тактику, використовуючи передові технології ІІ і клонування для обходу традиційних захистів. Криптоіндустрія має залишатися пильною і постійно адаптувати свої стратегії безпеки, щоб протистояти цим зростаючим загрозам. Лише комплексний підхід до кібербезпеки з використанням клонування телефону для виявлення підозрілої активності і зміцнення багатофакторної аутентифікації може забезпечити надійний захист криптопрофесіоналів.