Хакерские атаки с использованием ИИ
Хакеры, связанные с Северной Кореей, продолжают использовать живые видеозвонки, включая дипфейки, созданные с помощью искусственного интеллекта, чтобы обмануть разработчиков и сотрудников криптовалютных компаний, заставляя их устанавливать вредоносное ПО на свои устройства.
Методы злоумышленников
В последнем случае, о котором сообщил соучредитель BTC Prague Мартин Кучар, злоумышленники использовали скомпрометированную учетную запись Telegram и инсценированный видеозвонок, чтобы распространить вредоносное ПО, замаскированное под исправление аудио для Zoom. «Высокоуровневая хакерская кампания» кажется «направленной на пользователей Bitcoin и криптовалюты«, сообщил Кучар в четверг на платформе X.
Злоумышленники связываются с жертвой и организуют звонок в Zoom или Teams, объяснил Кучар. Во время звонка они используют видео, сгенерированное ИИ, чтобы выглядеть как кто-то, кого жертва знает. Затем они утверждают, что возникла проблема с аудио, и просят жертву установить плагин или файл для ее исправления.
Последствия установки вредоносного ПО
После установки вредоносного ПО злоумышленники получают полный доступ к системе, что позволяет им красть Bitcoin, захватывать учетные записи Telegram и использовать их для атак на других пользователей. Это происходит на фоне того, что мошенничество с использованием ИИ привело к рекордным потерям в криптовалюте в размере 17 миллиардов долларов в 2025 году.
«Злоумышленники все чаще используют дипфейк-видео, клонирование голоса и поддельные личности, чтобы обмануть жертв и получить доступ к средствам» — данные аналитической компании Chainalysis.
Техника атак
Атака, описанная Кучаром, близка к технике, впервые задокументированной компанией по кибербезопасности Huntress, которая сообщила в июле прошлого года, что злоумышленники заманивают целевого работника криптовалюты в инсценированный звонок в Zoom после первоначального контакта в Telegram, часто используя поддельную ссылку на встречу, размещенную на фальшивом домене Zoom.
Во время звонка злоумышленники утверждают, что возникла проблема с аудио, и инструктируют жертву установить то, что кажется исправлением, связанным с Zoom, которое на самом деле является вредоносным AppleScript, инициирующим многоступенчатую инфекцию macOS.
Связь с группой Lazarus
Исследователи безопасности из Huntress с высокой степенью уверенности связали вторжение с продвинутой постоянной угрозой, связанной с Северной Кореей, отслеживаемой как TA444, также известной как BlueNoroff и под несколькими другими псевдонимами, действующими под общим термином Lazarus Group. Эта государственная группа сосредоточена на краже криптовалюты как минимум с 2017 года.
«Явно наблюдается повторное использование в разных кампаниях. Мы постоянно видим нацеливание на конкретные кошельки и использование очень похожих скриптов установки» — Дэвид Либерман, соавтор децентрализованной сети вычислений ИИ Gonka.
Заключение
Изображения и видео «больше не могут рассматриваться как надежное доказательство подлинности«, — добавил он, подчеркивая, что цифровой контент «должен быть криптографически подписан его создателем, и такие подписи должны требовать многофакторной аутентификации». Наративы в таких контекстах стали «важным сигналом для отслеживания и обнаружения«, учитывая, как эти атаки «опираются на знакомые социальные паттерны».
