与朝鲜有关联的黑客正利用人工智能生成的深度伪造视频,在实时通话中诱骗加密货币从业者安装恶意软件。
攻击手法详解
- 初始接触:攻击者通过被盗的Telegram账户联系受害者,并安排Zoom或Teams视频通话。
- 深度伪造伪装:通话中,攻击者使用AI生成的深度伪造视频,冒充受害者认识的人。
- 社会工程:攻击者声称存在音频问题,诱导受害者下载并安装伪装成“Zoom音频修复程序”的恶意文件。
- 恶意软件后果:一旦安装,恶意软件将授予攻击者完全的系统访问权限,用于窃取比特币、接管Telegram账户,并利用这些账户进行后续攻击。
关联攻击活动
网络安全公司Huntress早在2023年7月就记录了类似攻击。其技术细节高度吻合:
- 攻击者使用伪造的Zoom会议链接。
- 在macOS系统上,恶意软件会禁用shell历史记录、安装Rosetta 2并反复索要系统密码以提权。
- 最终植入的恶意载荷包括后门、键盘记录器、剪贴板窃取工具以及加密钱包窃取程序。
幕后黑手
Huntress研究人员高度确信此类攻击由朝鲜高级持续性威胁(APT)组织TA444(即BlueNoroff,隶属于Lazarus集团)发起。该组织自2017年以来一直专注于加密货币盗窃。区块链安全专家分析认为,近期披露的攻击很可能与拉撒路集团的更广泛行动有关,因其在攻击模式、脚本复用上存在明显关联。
行业警示
随着AI深度伪造技术的滥用,图像和视频已不能作为可靠的真实性证明。专家建议,关键数字内容应由创建者进行加密签名,并采用多因素授权。同时,攻击所依赖的“熟悉的社会模式”本身已成为重要的追踪和检测信号。
