Через відео дзвінки з дипфейком: як північнокорейські хакери атакують крипто-професіоналів

Хакери, що працюють під керівництвом Північної Кореї, розширюють арсенал своїх методів атак на фахівців криптоіндустрії. Новий підхід — використання відеодзвінків із ІІ-згенерованими дипфейками — дозволяє зловмисникам видавати себе за знайомих або авторитетних контактів, після чого спонукати жертв встановити шкідливе програмне забезпечення. Цей спосіб демонструє, наскільки майстерним стало застосування технологій синтезу для цілей кіберзлому.

Відеодзвінки як інструмент соціальної інженерії

Згідно з даними дослідницької компанії Huntress, сценарій атаки розгортається наступним чином: зловмисники захоплюють Telegram-акаунти реальних людей, відомих цільовій жертві. Потім вони ініціюють відеодзвінки, під час яких обличчя атакуючого замінене на ІІ-згенерований дипфейк. Це обходить базові перевірки візуального підтвердження, які зазвичай допомагають виявити шахрайство.

Мартін Кухарж, співорганізатор конференції BTC Prague, поділився інформацією про конкретний метод: обманливий відеодзвінок супроводжується пропозицією встановити нібито виправляючий плагін для Zoom, нібито для вирішення проблем із звуком. Після встановлення шкідливого програмного забезпечення атакуючі отримують повний доступ до зараженого пристрою і можуть викрадати криптоактиви, переписку та інші критично важливі дані.

Технічний аналіз шкідливого ПО: багаторівнева інфекція

Впроваджений шкідливий код демонструє складність і багатофункціональність. На системах macOS зловмисне програмне забезпечення здатне:

• розгортати бекдори для віддаленого управління пристроєм
• реєструвати натискання клавіш користувача
• копіювати вміст буфера обміну
• отримувати доступ до криптографічно захищених гаманців і їхніх приватних ключів

Такий функціонал дозволяє хакерам не лише компрометувати конкретний пристрій, а й використовувати його як плацдарм для подальших операцій.

Lazarus Group і державна підтримка

Дослідники з SlowMist і компанії Huntress з високою впевненістю ідентифікували авторів атак. Це північнокорейська група Lazarus Group, також відома під псевдонімом BlueNoroff. Група отримує фінансування й політичну підтримку держави, що дозволяє їй постійно вдосконалювати методи зломів.

Характерна ознака — повторне використання компонентів коду й технік атак у численних операціях. Це вказує на централізоване управління і наявність довгострокової стратегії націлювання на криптоспеціалістів і трейдерів.

Як захиститися від дипфейк-атак через відеодзвінки

Розповсюдження технологій синтезу облич і голосу робить відео та аудіо ненадійними методами автентифікації. Галузі потрібно терміново переосмислити підходи до перевірки особистості. Рекомендації включають:

• Включення багатофакторної автентифікації (MFA) на всіх критичних сервісах
• Використання апаратних ключів безпеки замість програмних методів перевірки
• Скептицизм до несподіваних відеодзвінків — навіть якщо дзвонить знайоме обличчя
• Регулярне оновлення операційних систем і програмного забезпечення
• Навчання команди розпізнаванню соціальної інженерії

Криптоіндустрія має усвідомити масштаб загрози і вжити активних заходів щодо зміцнення своєї безпеки.