Криптоактивы промывание глаз升级！Северная Корея Lazarus использует AI глубокую подделку Zoom, чтобы украсть миллионы долларов

Северокорейские хакеры шифрования усовершенствуют распространенную схему промывания глаз с криптоактивами. Согласно отчету компании по цифровой безопасности Касперского, самый страшный преступный синдикат Северной Кореи, группа Lazarus, через свое подразделение BlueNoroff APT использует две новые активности под названием GhostCall и GhostHire, используя искусственный интеллект и повторяющиеся видеозвонки для повышения доверия.

Северная Корея Lazarus Group из соискателей в охотников

（Источник：X）

Северокорейские хакеры в области шифрования стали глобальной угрозой, но их стратегии проникновения претерпели значительные изменения. Эти преступники раньше искали работу только в компаниях Web3, пытаясь стать внутренними сотрудниками, чтобы украсть активы или внедрить закладки. Однако недавно они начали использовать ложные объявления о наборе для распространения вредоносного ПО, превращаясь из соискателей в охотников. Теперь их планы снова расширяются, а методы становятся все труднее распознать.

Группа Лазаря является хакерской организацией, поддерживаемой правительством Северной Кореи, и считается одним из самых активных и успешных воров криптоактивов в мире. По оценкам Организации Объединенных Наций и компании по анализу блокчейна Chainalysis, эта организация с 2017 года украла более 3 миллиардов долларов США в криптоактивах. Эти средства используются для финансирования ядерных и ракетных программ Северной Кореи, что делает ее угрозой международной безопасности.

В прошлом методы Lazarus были относительно грубыми. Они массово рассылали фишинговые письма с заражёнными файлами, надеясь, что кто-то кликнет. Или они выдавали себя за соискателей на профессиональных социальных платформах, таких как LinkedIn, пытаясь проникнуть внутрь криптоактивов компаний. Хотя эти методы иногда были успешными, их успех не был высок, поскольку многие компании уже разработали соответствующие защитные механизмы.

Тем не менее, BlueNoroff APT, являющийся специализированным подразделением группы Lazarus, нацеленным на финансовые институты и компании по производству криптоактивов, демонстрирует более высокий уровень профессионализма и адаптивности. Исследователи Kaspersky обнаружили, что две активности, GhostCall и GhostHire, используют одну и ту же управленческую инфраструктуру, что указывает на хорошо скоординированный многогранный план атаки.

GhostCall и GhostHire в тандеме против Криптоактивы промывание глаз

GhostCall и GhostHire представляют собой новый этап в промывании глаз с использованием криптоактивов, оба нацелены на разные цели, но используют похожие техники социального инжиниринга.

GhostCall: инвестиционная схема для высокопрофильных инвесторов Web3

В GhostCall эти северокорейские криптохакеры нацеливаются на высокопрофильных участников Web3, маскируясь под потенциальных инвесторов. Они изучают фон целей, состояние компаний и недавние события, а затем отправляют высокоперсонализированные инвестиционные предложения или приглашения к сотрудничеству. Эти сообщения обычно утверждают, что представляют известные венчурные фонды или семейные офисы и выражают интерес инвестировать миллионы долларов.

Как только цель отвечает, хакеры организуют видеоконференцию, обычно утверждая, что используют Zoom или Microsoft Teams. Однако они отправляют ссылку на «обновленную версию» или «безопасную версию» программного обеспечения для конференций, утверждая, что это необходимо для защиты коммерческой тайны или соблюдения нормативных требований. Это программное обеспечение на самом деле является клоном, содержащим вредоносный код.

GhostHire: ловушка для рекрутинга блокчейн-инженеров

С другой стороны, GhostHire привлекает инженеров блокчейна заманчивыми вакансиями. Хакеры притворяются рекрутерами известных криптоактивов компаний или стартапов, предлагая зарплату и долевое участие, значительно превышающие рыночные ставки. Чтобы “проверить” навыки кандидатов, они требуют выполнения программного задания или технического задания.

Эта задача обычно включает в себя загрузку репозитория GitHub или специализированной среды разработки. Однако эти файлы содержат вредоносное ПО, которое при запуске заразит систему. Kaspersky отмечает, что эти хакеры начали обращать внимание на операционные системы, предпочитаемые разработчиками криптоактивов, особенно macOS и Linux, и целенаправленно разрабатывать варианты вредоносного ПО.

У этих двух видов криптоактивов промывания глаз есть один общий недостаток: жертвы должны действительно взаимодействовать с подозрительным программным обеспечением. Это подрывает успех предыдущих мошенничеств, поскольку всё больше специалистов с высокой безопасностью отказываются загружать неизвестное программное обеспечение. Тем не менее, эти северокорейские хакеры нашли новый способ повторно использовать упущенные возможности, что и является ключом к текущему наращиванию угроз.

Искусственный интеллект и технологии глубокого подделывания превращают неудачи в новое оружие

Усиленное сотрудничество между GhostCall и GhostHire позволяет хакерам улучшать свои методы социальной инженерии, что является самым опасным развитием текущих криптоактивов промывания глаз. Кроме контента, созданного ИИ, они также могут использовать взломанные реальные аккаунты предпринимателей или реальные видеозвонки, чтобы сделать свои схемы более правдоподобными.

Конкретный способ работы следующий: когда высокопрофильный участник криптоактивов разрывает связи с подозрительными рекрутерами или инвесторами, хакеры не просто сдаются. Напротив, они фиксируют весь процесс взаимодействия, включая любые кадры из видеозвонков, аудиофрагменты и фоновые условия. Даже если эта схема провалится, эти материалы становятся оружием для атаки на следующую жертву.

С помощью искусственного интеллекта хакеры могут синтезировать новые «разговоры», удивительно точно имитируя человеческий тон, жесты и окружающую среду. Например:

Глубокая подделка видео: Хакеры могут использовать инструменты ИИ для синтеза 30-секундного реального видео, полученного в результате неудачной схемы, в 5-минутный «инвестиционный семинар» или «техническое собеседование», в котором выражения лиц и движения губ жертвы идеально синхронизированы с подделанным голосом.

Клонирование голоса: Даже с образцом голоса всего в несколько секунд современные инструменты ИИ могут генерировать голосовые клонирования, которые почти невозможно отличить от оригинала. Хакеры могут заставить «жертву» «рекомендовать» определенную инвестиционную возможность или процесс набора в новой схеме.

Накладка идентичности: Более сложным является то, что хакеры комбинируют материалы нескольких неудачных промываний глаз, создавая полноценную ложную экосистему. Например, они могут заставить «инвестора A» упомянуть «основателя B» в видео, при этом оба являются жертвами предыдущих промываний глаз.

Насколько это опасно, можно только догадываться. Основатель проекта в сфере криптоактивов может избежать одной атаки благодаря высокой настороженности, но через несколько недель обнаруживает, что его образ используется для обмана других основателей или инвесторов. Хуже того, этот глубокий фейк может распространяться в социальных сетях или профессиональных сетях, нанося вред репутации жертвы.

Фактические цепочки атак и рекомендации по защите

Независимо от того, кто является целью, фактические атаки на криптоактивы следуют похожему шаблону:

Этап 1: Исследование и контакт

Хакеры изучают цели на LinkedIn, Twitter и форумах Криптоактивов, собирая личную и профессиональную информацию, а затем отправляют высоко персонализированные начальные сообщения.

Этап два: Установление доверия

Установить доверительные отношения через многократные коммуникации и видеозвонки (возможно, с использованием технологии глубоких подделок), чтобы цель расслабила бдительность.

Этап три: побуждение к загрузке

С разумными причинами (тестирование, соблюдение норм, конфиденциальность) требовать от цели загрузки определенного программного обеспечения или документов.

Этап четыре: проникающая система

Как только вредоносное ПО начинает работать, хакеры получают доступ к системе, крадут приватные ключи, сид-фразы или напрямую перемещают активы.

Этап пять: Сбор материалов

Даже если атака не удалась, хакеры соберут все видео, голосовые и информационные данные, полученные в процессе взаимодействия, для будущих атак.

Ключевые меры защиты

Строгая проверка личности: Подтверждайте личность другой стороны через несколько независимых каналов, не полагаясь только на один способ связи.

Отказ от нестандартного программного обеспечения: настаивайте на использовании официально загруженных инструментов, таких как Zoom, Teams, и отказывайтесь от любых “особых версий”.

Изолированная тестовая среда: Если необходимо протестировать код или документы, используйте виртуальную машину или песочницу, никогда не выполняйте на основной системе.

Осторожно с высокими давлениями: любая ситуация, создающая чувство срочности, требующая быстрого принятия решений или утверждающая, что это «единственный шанс», должна вызывать высокие подозрения.

Аппаратные кошельки и мультиподпись: Убедитесь, что приватные ключи хранятся в аппаратном кошельке, а важные активы защищены мультиподписью.

Даже если эти криптоактивы промывания глаз потерпят неудачу, потенциальный ущерб все равно огромен. Любой, кто оказался в необычных или стрессовых ситуациях, должен быть настороже и никогда не загружать незнакомое программное обеспечение или принимать неподобающие запросы. Постоянное развитие группы Lazarus из Северной Кореи показывает, что безопасность криптоактивов уже не просто техническая проблема, а долгосрочная война против национальных атакующих.