Nordkorea-verbundene Hacker und ihre Methoden
Nordkorea-verbundene Hacker setzen weiterhin Live-Videoanrufe, einschließlich KI-generierter Deepfakes, ein, um Krypto-Entwickler und -Arbeiter dazu zu bringen, schädliche Software auf ihren eigenen Geräten zu installieren. In einem aktuellen Fall, der von Martin Kuchař, Mitbegründer von BTC Prague, bekannt gegeben wurde, verwendeten die Angreifer ein kompromittiertes Telegram-Konto und einen inszenierten Videoanruf, um Malware zu verbreiten, die als Zoom-Audiofix getarnt war.
Die Angriffsstrategie
Kuchař erklärte, dass diese „hochgradige Hacker-Kampagne“ darauf abzielt, „Bitcoin- und Krypto-Nutzer ins Visier zu nehmen“. Die Angreifer kontaktieren ihre Opfer und richten einen Zoom- oder Teams-Anruf ein. Während des Anrufs verwenden sie ein KI-generiertes Video, um sich als jemand auszugeben, den das Opfer kennt. Sie behaupten dann, es gebe ein Audio-Problem und bitten das Opfer, ein Plugin oder eine Datei zu installieren, um das Problem zu beheben.
Nach der Installation gewährt die Malware den Angreifern vollen Zugriff auf das System, wodurch sie Bitcoin stehlen, Telegram-Konten übernehmen und diese Konten nutzen können, um weitere Angriffe durchzuführen.
Statistiken und Trends
Laut Daten des Blockchain-Analyseunternehmens Chainalysis haben KI-gesteuerte Identitätsbetrügereien die krypto-bezogenen Verluste im Jahr 2025 auf einen Rekordwert von 17 Milliarden Dollar getrieben. Angreifer verwenden zunehmend Deepfake-Videos, Sprachklonung und gefälschte Identitäten, um ihre Opfer zu täuschen und Zugang zu Geldern zu erhalten.
Vergleich mit früheren Angriffen
Der von Kuchař beschriebene Angriff entspricht eng einer Technik, die erstmals von dem Cybersicherheitsunternehmen Huntress dokumentiert wurde. Dieses berichtete im Juli letzten Jahres, dass Angreifer einen Krypto-Arbeiter in einen inszenierten Zoom-Anruf locken, nachdem sie den ersten Kontakt über Telegram hergestellt hatten, oft unter Verwendung eines gefälschten Meeting-Links, der auf einer gefälschten Zoom-Domain gehostet wird.
Während des Anrufs würden die Angreifer behaupten, es gebe ein Audio-Problem, und das Opfer anweisen, eine vermeintliche Zoom-Lösung zu installieren, die in Wirklichkeit ein bösartiges AppleScript ist, das eine mehrstufige macOS-Infektion einleitet.
Technische Details der Malware
Nach der Ausführung deaktiviert das Skript die Shell-Historie, überprüft oder installiert Rosetta 2 (eine Übersetzungsschicht) auf Apple Silicon-Geräten und fordert den Benutzer wiederholt zur Eingabe seines Systempassworts auf, um erhöhte Berechtigungen zu erhalten. Die Studie ergab, dass die Malware-Kette mehrere Payloads installiert, darunter persistente Hintertüren, Keylogging- und Clipboard-Tools sowie Krypto-Wallet-Diebe.
Verbindungen zur Lazarus Group
Diese Abfolge wurde von Kuchař erwähnt, als er am Montag bekannt gab, dass sein Telegram-Konto kompromittiert wurde und später verwendet wurde, um andere auf die gleiche Weise anzugreifen. Sicherheitsforscher von Huntress haben den Eindringling mit hoher Zuversicht einer nordkorea-verbundenen fortgeschrittenen Bedrohung zugeordnet, die als TA444 verfolgt wird, auch bekannt als BlueNoroff und unter mehreren anderen Aliasnamen, die unter dem Oberbegriff Lazarus Group operieren.
Diese staatlich geförderte Gruppe konzentriert sich seit mindestens 2017 auf den Diebstahl von Kryptowährungen. Als Shān Zhang, Chief Information Security Officer des Blockchain-Sicherheitsunternehmens Slowmist, nach den operativen Zielen dieser Kampagnen und möglichen Zusammenhängen gefragt wurde, äußerte er gegenüber Decrypt, dass der jüngste Angriff auf Kuchař „möglicherweise“ mit breiteren Kampagnen der Lazarus Group verbunden ist.
Schlussfolgerungen und Empfehlungen
Es gibt eine klare Wiederverwendung über Kampagnen hinweg. Wir sehen konsequent, dass spezifische Wallets ins Visier genommen werden und sehr ähnliche Installationsskripte verwendet werden, sagte David Liberman, Mitbegründer des dezentralen KI-Computernetzwerks Gonka, gegenüber Decrypt. Bilder und Videos „können nicht länger als zuverlässiger Beweis für Authentizität behandelt werden“, sagte Liberman und fügte hinzu, dass digitale Inhalte „kryptografisch von ihrem Ersteller signiert werden sollten, und solche Signaturen sollten eine Multi-Faktor-Authentifizierung erfordern“.
Narrative sind in Kontexten wie diesem zu „einem wichtigen Signal geworden, um zu verfolgen und zu erkennen“, da diese Angriffe „auf vertrauten sozialen Mustern basieren“, erklärte er. Die Lazarus Group aus Nordkorea ist mit Kampagnen gegen Krypto-Unternehmen, -Arbeiter und -Entwickler verbunden, die maßgeschneiderte Malware und ausgeklügelte soziale Ingenieurtechniken einsetzen, um digitale Vermögenswerte und Zugangsdaten zu stehlen.
