Хакеры из Северной Кореи ускоряют сложные кампании с использованием deepfake ИИ против криптоиндустрии

Хакеры, связанные с режимом Северной Кореи, развертывают новые более изощренные тактики атак против профессионалов в области криптовалют с помощью видео deepfake, созданных с помощью искусственного интеллекта. Согласно недавним отчетам, эти хакеры успешно вводят своих целей в заблуждение, выдавая себя за доверенных лиц через цифрово манипулированные видеозвонки, принуждая к установке вредоносного ПО на их устройства. Операция представляет собой значительный шаг в кибервойне против криптосообщества, сочетая методы социальной инженерии с передовыми технологиями.

Визуальное обман: как работают эти сложные кампании

Мартин Кучар, один из главных организаторов BTC Prague, стал жертвой этого сложного метода атаки. Киберпреступники установили первоначальный контакт через взломанные аккаунты в Telegram, используя deepfake видеозвонки для выдачи себя за знакомых контактов. Используемый трюк основан на распространенном предлоге: убедить жертву в необходимости установки «аудио-плагина» для решения технических проблем на платформах вроде Zoom. После установки, предположительно безвредное программное обеспечение открывает двери для полного контроля над зараженным устройством.

Эта методика подделки личности через фальсификацию видео эволюционировала благодаря достижениям в области клонирования голоса и синтетических изображений. Атакующие тщательно исследуют своих целей в соцсетях и профессиональных платформах перед выполнением атаки, выбирая высокоценные жертвы в криптоиндустрии.

Разрушительные возможности внедренного вредоносного кода

Исследовательская компания Huntress подробно проанализировала вредоносные скрипты, используемые в этих операциях. Эти коды запускают многоэтапные инфекции, специально разработанные для систем macOS, внедряя несколько опасных функций поэтапно.

После проникновения в устройство, вредоносное ПО создает задние двери для сохранения постоянного доступа даже после обнаружения заражения пользователем. Код также регистрирует каждое нажатие клавиши, захватывая пароли, фразы восстановления и чувствительные данные. Кроме того, вредоносное ПО получает доступ к содержимому буфера обмена устройства, извлекая адреса кошельков и приватные ключи, недавно скопированные пользователем. Конечная цель — компрометация зашифрованных активов кошелька, хранящихся на машине.

Lazarus Group: организация, стоящая за кампанией

Специалисты по безопасности уверенно связывают эти операции с Lazarus Group, также известной как BlueNoroff, — организацией хакеров, напрямую поддерживаемой государством Северной Кореи. Эта группа несет ответственность за одни из самых заметных кибератак на криптоиндустрию за последние годы, включая масштабные кражи с бирж и взломы протоколов DeFi.

Команда безопасности SlowMist, специализирующаяся на защите блокчейна, подтвердила, что эти кампании демонстрируют паттерны, сходные с предыдущими операциями Lazarus Group. Хакеры показывают глубокое знание инфраструктуры крипто, целясь в технических специалистов, разработчиков и операторов кошельков, обладающих значительными активами. Координация и ресурсы, задействованные в этих операциях, подтверждают государственное финансирование.

Растущая угроза deepfake в проверке личности

Анализы безопасности выявили тревожную тенденцию: технологии deepfake и клонирования голоса достигли такого уровня изощренности, что изображения и видео уже нельзя считать надежными доказательствами подлинности. В прошлом видеозвонок считался относительно безопасным способом подтвердить личность контакта. Сегодня эти хакеры демонстрируют, что цифровая подделка может быть практически неотличимой от оригинала.

Это фундаментальное изменение в ландшафте угроз вынуждает криптоиндустрию полностью пересмотреть свои протоколы безопасности. Доверие к визуальной информации уже недостаточно. Профессионалы в области криптовалют должны внедрять многоуровневую проверку личности, которая не полагается только на визуальные или аудио подтверждения.

Критические меры защиты для профессионалов в крипте

В условиях повышения изощренности этих хакеров сообщество должно принимать более надежные практики безопасности. Многофакторная аутентификация — обязательна: любые переводы активов должны требовать нескольких независимых проверок, желательно через полностью отдельные каналы.

Рекомендуется использовать аппаратные ключи безопасности (например, YubiKeys) для доступа к кошелькам и важным сервисам, исключая уязвимость паролей, захваченных кейлоггерами. Пользователи должны настороженно относиться к любым неожиданным запросам на установку программного обеспечения, даже если они исходят от казалось бы доверенных контактов. Проверка таких запросов через альтернативные каналы связи обязательна.

Кроме того, профессионалам в крипте рекомендуется использовать отдельные устройства для проведения чувствительных операций с кошельками, изолируя эти машины от приложений видеоконференций и социальных сетей. Индустрия должна оставаться бдительной по мере развития тактик этих хакеров, делясь информацией о признаках компрометации и своевременно обновляя системы с последними патчами безопасности.