Gli hacker legati alla Corea del Nord<\/strong> continuano a sfruttare videochiamate in diretta, inclusi deepfake<\/em> generati dall’intelligenza artificiale, per ingannare sviluppatori e lavoratori del settore crypto<\/strong>, inducendoli a installare software dannoso sui propri dispositivi.<\/p>\n Nell’ultimo caso rivelato dal co-fondatore di BTC Prague, Martin Kucha\u0159<\/strong>, gli attaccanti hanno utilizzato un account Telegram compromesso<\/strong> e una videochiamata simulata per diffondere malware mascherato da una presunta correzione audio di Zoom. La “campagna di hacking di alto livello” sembra mirare specificamente agli utenti di Bitcoin e criptovalute, come ha rivelato Kucha\u0159 gioved\u00ec su X.<\/p>\n “Gli attaccanti contattano la vittima e organizzano una chiamata su Zoom o Teams. Durante la chiamata, utilizzano un video generato dall’IA per apparire come qualcuno che la vittima conosce.”<\/p>\n<\/blockquote>\n Affermano poi che c’\u00e8 un problema audio e chiedono alla vittima di installare un plugin o un file per risolverlo. Una volta installato, il malware concede agli attaccanti accesso completo al sistema, permettendo loro di rubare Bitcoin, prendere il controllo degli account Telegram e utilizzare quegli account per colpire altre vittime.<\/p>\n Questo avviene mentre le truffe di impersonificazione guidate dall’IA hanno portato le perdite legate al crypto a un record di 17 miliardi di dollari nel 2025<\/strong>, con gli attaccanti che utilizzano sempre pi\u00f9 video deepfake, clonazione della voce e identit\u00e0 false per ingannare le vittime e accedere ai fondi, secondo i dati della societ\u00e0 di analisi blockchain Chainalysis<\/strong>.<\/p>\n L’attacco, come descritto da Kucha\u0159, corrisponde strettamente a una tecnica documentata per la prima volta dalla societ\u00e0 di cybersecurity Huntress<\/strong>, che ha riportato a luglio dello scorso anno che questi attaccanti attirano un lavoratore del settore crypto in una chiamata Zoom simulata dopo un contatto iniziale su Telegram, spesso utilizzando un link di riunione falso ospitato su un dominio Zoom contraffatto.<\/p>\n “Durante la chiamata, gli attaccanti affermerebbero che c’\u00e8 un problema audio e istruiscono la vittima a installare quella che sembra essere una correzione relativa a Zoom, che in realt\u00e0 \u00e8 un AppleScript dannoso.”<\/p>\n<\/blockquote>\n Una volta eseguito, lo script disabilita la cronologia della shell, controlla o installa Rosetta 2 (uno strato di traduzione) sui dispositivi Apple Silicon e chiede ripetutamente all’utente la password di sistema per ottenere privilegi elevati.<\/p>\n Lo studio ha scoperto che la catena di malware installa pi\u00f9 payload, inclusi backdoor persistenti<\/strong>, strumenti di keylogging e clipboard, e rubatori di wallet crypto, una sequenza simile a quella a cui Kucha\u0159 ha fatto riferimento quando ha rivelato luned\u00ec che il suo account Telegram era stato compromesso e successivamente utilizzato per colpire altri nello stesso modo.<\/p>\n I ricercatori di sicurezza di Huntress hanno attribuito l’intrusione con alta fiducia a una minaccia persistente avanzata legata alla Corea del Nord, tracciata come TA444<\/strong>, nota anche come BlueNoroff<\/strong> e con diversi altri alias operanti sotto il termine ombrello Lazarus Group<\/strong>, un gruppo sponsorizzato dallo stato focalizzato sul furto di criptovalute almeno dal 2017.<\/p>\n “C’\u00e8 chiara riutilizzazione tra le campagne. Vediamo costantemente il targeting di portafogli specifici e l’uso di script di installazione molto simili.”<\/p>\n<\/blockquote>\n Le immagini e i video “non possono pi\u00f9 essere trattati come prove affidabili di autenticit\u00e0”, ha detto David Liberman<\/strong>, co-creatore della rete di calcolo decentralizzata AI Gonka, a Decrypt. Ha aggiunto che il contenuto digitale “dovrebbe essere firmato crittograficamente dal suo creatore, e tali firme dovrebbero richiedere un’autenticazione a pi\u00f9 fattori.”<\/p>\n Le narrazioni, in contesti come questo, sono diventate “un segnale importante da tracciare e rilevare” dato che questi attacchi “si basano su schemi sociali familiari”, ha concluso.<\/p>\n Il Lazarus Group della Corea del Nord \u00e8 legato a campagne contro aziende crypto, lavoratori e sviluppatori, utilizzando malware su misura e ingegneria sociale sofisticata per rubare beni digitali e credenziali di accesso.<\/p>\n","protected":false},"excerpt":{"rendered":" Attacchi informatici della Corea del Nord nel settore crypto Gli hacker legati alla Corea del Nord continuano a sfruttare videochiamate in diretta, inclusi deepfake generati dall’intelligenza artificiale, per ingannare sviluppatori e lavoratori del settore crypto, inducendoli a installare software dannoso sui propri dispositivi. La campagna di hacking Nell’ultimo caso rivelato dal co-fondatore di BTC Prague, Martin Kucha\u0159, gli attaccanti hanno utilizzato un account Telegram compromesso e una videochiamata simulata per diffondere malware mascherato da una presunta correzione audio di Zoom. La “campagna di hacking di alto livello” sembra mirare specificamente agli utenti di Bitcoin e criptovalute, come ha rivelato Kucha\u0159<\/p>\n","protected":false},"author":3,"featured_media":12996,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15,64],"tags":[11,76,65,71,72,2732,1923,8354],"class_list":["post-12997","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bitcoin","category-hack","tag-bitcoin","tag-chainalysis","tag-hack","tag-lazarus","tag-north-korea","tag-slowmist","tag-telegram","tag-zoom"],"yoast_description":"Gli hacker legati alla Corea del Nord sfruttano videochiamate deepfake per ingannare i lavoratori del settore crypto a installare malware, prendendo di mira beni digitali e account privati.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/12997","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/comments?post=12997"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/12997\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media\/12996"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media?parent=12997"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/categories?post=12997"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/tags?post=12997"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}La campagna di hacking<\/h2>\n
\n
Statistiche e tecniche di attacco<\/h2>\n
\n
Identificazione e attribuzione degli attacchi<\/h2>\n
\n