Nordkorea-verbundene Hacker<\/strong> setzen weiterhin Live-Videoanrufe<\/strong>, einschlie\u00dflich KI-generierter Deepfakes<\/em>, ein, um Krypto-Entwickler und -Arbeiter dazu zu bringen, sch\u00e4dliche Software auf ihren eigenen Ger\u00e4ten zu installieren. In einem aktuellen Fall, der von Martin Kucha\u0159<\/strong>, Mitbegr\u00fcnder von BTC Prague, bekannt gegeben wurde, verwendeten die Angreifer ein kompromittiertes Telegram-Konto und einen inszenierten Videoanruf, um Malware zu verbreiten, die als Zoom-Audiofix<\/em> getarnt war.<\/p>\n Kucha\u0159 erkl\u00e4rte, dass diese „hochgradige Hacker-Kampagne“<\/strong> darauf abzielt, „Bitcoin- und Krypto-Nutzer ins Visier zu nehmen“<\/strong>. Die Angreifer kontaktieren ihre Opfer und richten einen Zoom- oder Teams-Anruf ein. W\u00e4hrend des Anrufs verwenden sie ein KI-generiertes Video<\/em>, um sich als jemand auszugeben, den das Opfer kennt. Sie behaupten dann, es gebe ein Audio-Problem und bitten das Opfer, ein Plugin oder eine Datei zu installieren, um das Problem zu beheben.<\/p>\n Nach der Installation gew\u00e4hrt die Malware den Angreifern vollen Zugriff auf das System, wodurch sie Bitcoin stehlen<\/strong>, Telegram-Konten \u00fcbernehmen und diese Konten nutzen k\u00f6nnen, um weitere Angriffe durchzuf\u00fchren.<\/p>\n Laut Daten des Blockchain-Analyseunternehmens Chainalysis<\/strong> haben KI-gesteuerte Identit\u00e4tsbetr\u00fcgereien die krypto-bezogenen Verluste im Jahr 2025 auf einen Rekordwert von 17 Milliarden Dollar<\/strong> getrieben. Angreifer verwenden zunehmend Deepfake-Videos<\/strong>, Sprachklonung und gef\u00e4lschte Identit\u00e4ten, um ihre Opfer zu t\u00e4uschen und Zugang zu Geldern zu erhalten.<\/p>\n Der von Kucha\u0159 beschriebene Angriff entspricht eng einer Technik, die erstmals von dem Cybersicherheitsunternehmen Huntress<\/strong> dokumentiert wurde. Dieses berichtete im Juli letzten Jahres, dass Angreifer einen Krypto-Arbeiter in einen inszenierten Zoom-Anruf locken, nachdem sie den ersten Kontakt \u00fcber Telegram hergestellt hatten, oft unter Verwendung eines gef\u00e4lschten Meeting-Links, der auf einer gef\u00e4lschten Zoom-Domain gehostet wird.<\/p>\n W\u00e4hrend des Anrufs w\u00fcrden die Angreifer behaupten, es gebe ein Audio-Problem, und das Opfer anweisen, eine vermeintliche Zoom-L\u00f6sung zu installieren, die in Wirklichkeit ein b\u00f6sartiges AppleScript ist, das eine mehrstufige macOS-Infektion einleitet.<\/p>\n Nach der Ausf\u00fchrung deaktiviert das Skript die Shell-Historie, \u00fcberpr\u00fcft oder installiert Rosetta 2<\/strong> (eine \u00dcbersetzungsschicht) auf Apple Silicon-Ger\u00e4ten und fordert den Benutzer wiederholt zur Eingabe seines Systempassworts auf, um erh\u00f6hte Berechtigungen zu erhalten. Die Studie ergab, dass die Malware-Kette mehrere Payloads installiert, darunter persistente Hintert\u00fcren<\/strong>, Keylogging-<\/strong> und Clipboard-Tools<\/strong> sowie Krypto-Wallet-Diebe<\/strong>.<\/p>\n Diese Abfolge wurde von Kucha\u0159 erw\u00e4hnt, als er am Montag bekannt gab, dass sein Telegram-Konto kompromittiert wurde und sp\u00e4ter verwendet wurde, um andere auf die gleiche Weise anzugreifen. Sicherheitsforscher von Huntress haben den Eindringling mit hoher Zuversicht einer nordkorea-verbundenen fortgeschrittenen Bedrohung zugeordnet, die als TA444<\/strong> verfolgt wird, auch bekannt als BlueNoroff<\/strong> und unter mehreren anderen Aliasnamen, die unter dem Oberbegriff Lazarus Group<\/strong> operieren.<\/p>\n Diese staatlich gef\u00f6rderte Gruppe konzentriert sich seit mindestens 2017 auf den Diebstahl von Kryptow\u00e4hrungen. Als Sh\u0101n Zhang<\/strong>, Chief Information Security Officer des Blockchain-Sicherheitsunternehmens Slowmist<\/strong>, nach den operativen Zielen dieser Kampagnen und m\u00f6glichen Zusammenh\u00e4ngen gefragt wurde, \u00e4u\u00dferte er gegen\u00fcber Decrypt<\/strong>, dass der j\u00fcngste Angriff auf Kucha\u0159 „m\u00f6glicherweise“<\/strong> mit breiteren Kampagnen der Lazarus Group verbunden ist.<\/p>\n Es gibt eine klare Wiederverwendung \u00fcber Kampagnen hinweg. Wir sehen konsequent, dass spezifische Wallets ins Visier genommen werden und sehr \u00e4hnliche Installationsskripte verwendet werden, sagte David Liberman<\/strong>, Mitbegr\u00fcnder des dezentralen KI-Computernetzwerks Gonka<\/strong>, gegen\u00fcber Decrypt. Bilder und Videos „k\u00f6nnen nicht l\u00e4nger als zuverl\u00e4ssiger Beweis f\u00fcr Authentizit\u00e4t behandelt werden“<\/strong>, sagte Liberman und f\u00fcgte hinzu, dass digitale Inhalte „kryptografisch von ihrem Ersteller signiert werden sollten, und solche Signaturen sollten eine Multi-Faktor-Authentifizierung erfordern“<\/strong>.<\/p>\n Narrative sind in Kontexten wie diesem zu „einem wichtigen Signal geworden, um zu verfolgen und zu erkennen“<\/strong>, da diese Angriffe „auf vertrauten sozialen Mustern basieren“<\/strong>, erkl\u00e4rte er. Die Lazarus Group aus Nordkorea ist mit Kampagnen gegen Krypto-Unternehmen, -Arbeiter und -Entwickler verbunden, die ma\u00dfgeschneiderte Malware und ausgekl\u00fcgelte soziale Ingenieurtechniken einsetzen, um digitale Verm\u00f6genswerte und Zugangsdaten zu stehlen.<\/p>\n","protected":false},"excerpt":{"rendered":" Nordkorea-verbundene Hacker und ihre Methoden Nordkorea-verbundene Hacker setzen weiterhin Live-Videoanrufe, einschlie\u00dflich KI-generierter Deepfakes, ein, um Krypto-Entwickler und -Arbeiter dazu zu bringen, sch\u00e4dliche Software auf ihren eigenen Ger\u00e4ten zu installieren. In einem aktuellen Fall, der von Martin Kucha\u0159, Mitbegr\u00fcnder von BTC Prague, bekannt gegeben wurde, verwendeten die Angreifer ein kompromittiertes Telegram-Konto und einen inszenierten Videoanruf, um Malware zu verbreiten, die als Zoom-Audiofix getarnt war. Die Angriffsstrategie Kucha\u0159 erkl\u00e4rte, dass diese „hochgradige Hacker-Kampagne“ darauf abzielt, „Bitcoin- und Krypto-Nutzer ins Visier zu nehmen“. Die Angreifer kontaktieren ihre Opfer und richten einen Zoom- oder Teams-Anruf ein. W\u00e4hrend des Anrufs verwenden sie ein KI-generiertes Video,<\/p>\n","protected":false},"author":3,"featured_media":12991,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15,64],"tags":[11,76,65,71,72,2732,1923,8354],"class_list":["post-12992","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bitcoin","category-hack","tag-bitcoin","tag-chainalysis","tag-hack","tag-lazarus","tag-north-korea","tag-slowmist","tag-telegram","tag-zoom"],"yoast_description":"Nordkorea-verbundene Hacker nutzen Deepfake-Videoanrufe, um Krypto-Arbeiter zu t\u00e4uschen und Malware zu installieren, die digitale Verm\u00f6genswerte und private Konten ins Visier nimmt.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/12992","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/comments?post=12992"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/12992\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media\/12991"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media?parent=12992"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/categories?post=12992"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/tags?post=12992"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Die Angriffsstrategie<\/h2>\n
Statistiken und Trends<\/h2>\n
Vergleich mit fr\u00fcheren Angriffen<\/h2>\n
Technische Details der Malware<\/h2>\n
Verbindungen zur Lazarus Group<\/h2>\n
Schlussfolgerungen und Empfehlungen<\/h2>\n