Hakerzy BlueNoroff z Korei Północnej użyli fałszywych rozmów Zoom i deepfake’ów opartych na AI, aby włamać się do firmy krypto i skompromitować ponad 100 menedżerów Web3 na całym świecie.
Kluczowe punkty
- BlueNoroff podszywali się pod prawnika fintech, wysłali spreparowane zaproszenie z kalendarza i skierowali ofiarę do podrobionej rozmowy Zoom.
- Sztuczka ClickFix z obsługą schowka uruchomiła bezplikowy PowerShell, który w mniej niż pięć minut przejął dane logowania i portfeli krypto.
- Skadrowane nagrania z kamery internetowej zasilały deepfake’i AI, które podszywały się pod wcześniejsze ofiary, aby zwabić kolejną rundę celów.
BlueNoroff przechwytuje rozmowy Zoom, by opróżniać portfele
Badacze z Arctic Wolf wyśledzili wielomiesięczne włamanie do BlueNoroff, finansowo motywowanego ramienia północnokoreańskiej grupy Lazarus Group. Kampania uderzyła w północnoamerykańską firmę Web3 23 stycznia 2026 r., a operatorzy po cichu utrzymywali dostęp przez 66 dni. Podszywając się pod prawnika w firmie fintech, atakujący wysłał zaproszenie z Calendly na rutynową rozmowę catch‑up zaplanowaną na pięć miesięcy do przodu.
Po potwierdzeniu przez cel, rezerwacja podmieniła link Google Meet na podszywający się pod oryginał adres Zoom z literówką, który wyglądał niemal identycznie jak prawdziwy. Telemetria później pokazała, że ofiara kliknęła zły link trzy razy w ciągu czterech minut, przekonana, że oprogramowanie po prostu się zawiesza.
Zobacz też: Bitcoin spada poniżej 59 tys. dol. w związku z obawami o stopy Fed
Sztuczka ClickFix podkłada bezplikowy PowerShell
W podrobionym spotkaniu wyskakujące okno twierdziło, że SDK Zoom wymaga aktualizacji i oferowało szybkie rozwiązanie, podstęp znany jako ClickFix. Gdy ofiara skopiowała podane polecenia, strona po cichu nadpisała schowek i wstrzyknęła ukryty ładunek PowerShell. To jedno wklejenie dało atakującemu przyczółek bez zapisania jakiegokolwiek pliku na dysku.
Implant następnie komunikował się zdalnie z serwerem, zbierając loginy z przeglądarki i dane portfeli krypto oraz przejął aktywne sesje Telegram, które później wykorzystano do kontaktu z nowymi ofiarami z zaufanych kont. Od pierwszego kliknięcia do pełnego przejęcia systemu cały łańcuch trwał mniej niż pięć minut, co jest wyjątkowo szybkim kompromitowaniem.
Deepfake’i recyklingują ofiary, by łapać nowe cele
Fałszywe rozmowy wydawały się przekonujące, ponieważ każda miniaturka uczestnika pokazywała skradzione nagrania z kamery internetowej, generowane przez AI zdjęcia twarzy lub złożone deepfake’i wideo, pobrane z biblioteki ponad 100 wcześniejszych ofiar z 20 krajów. Śledczy powiązali syntetyczne twarze z modelem GPT-4o firmy OpenAI i prześledzili edycję do jednego operatora, który w metadanych pozostawił nazwę użytkownika macOS „king”. Każda skradziona twarz zasilała kolejną przynętę, więc każde włamanie sprawiało, że następny atak był trudniejszy do wykrycia.
Stany Zjednoczone odpowiadały za 41% zidentyfikowanych ofiar, dalej były Singapur i Zjednoczone Królestwo. Około 80% pracowało w krypto, finansach blockchain lub pokrewnych rolach inwestycyjnych, a założyciele lub dyrektorzy generalni stanowili blisko połowę.
BlueNoroff nie jest nowicjuszem w tym fachu. Grupa pojawiła się podczas napadu na Bank Bangladeszu w 2016 r., kiedy przetransferowała 81 mln dol., po czym przestawiła się na krypto poprzez długotrwałą operację SnatchCrypto. Ta kampania pokazuje, że ten sam podręcznik działa teraz z wykorzystaniem AI, podnosząc poprzeczkę dla każdego zespołu krypto próbującego się bronić.
Następny artykuł: AAVE przebija Bitcoina, gdy wraca narracja pożyczek DeFi