Hakerzy BlueNoroff z Korei Północnej wykorzystali fałszywe rozmowy Zoom i deepfake’i AI, aby włamać się do firmy kryptowalutowej i skompromitować ponad 100 menedżerów Web3 na całym świecie.
Kluczowe punkty
- BlueNoroff podszywali się pod prawnika fintech, wysłali zmodyfikowane zaproszenie z kalendarza i wciągnęli cel w spreparowaną rozmowę na Zoomie.
- Sztuczka ClickFix z użyciem schowka uruchomiła bezplikowy PowerShell, który w mniej niż pięć minut przejął dane logowania i portfeli krypto.
- Skradzione nagrania z kamer internetowych zasilały deepfake’i AI, które podszywały się pod wcześniejsze ofiary, by wabić kolejną rundę celów.
BlueNoroff przejmuje rozmowy Zoom, by opróżniać portfele
Badacze z Arctic Wolf przypisali trwającą miesiącami kampanię BlueNoroff, nastawionemu na zysk finansowy ramieniu północnokoreańskiej grupy Lazarus Group. Atak wymierzono w północnoamerykańską firmę Web3 23 stycznia 2026 r., a operatorzy po cichu utrzymywali dostęp przez 66 dni. Podszywając się pod dyrektora działu prawnego w firmie fintech, atakujący wysłał zaproszenie Calendly na rutynowe spotkanie kontrolne zaplanowane na pięć miesięcy do przodu.
Po potwierdzeniu przez ofiarę rezerwacja podmieniła link do Google Meet na literówkowy adres Zoom, który wyglądał niemal identycznie jak prawdziwy. Telemetria później pokazała, że ofiara kliknęła zły link trzy razy w ciągu czterech minut, przekonana, że oprogramowanie po prostu się zawiesza.
Zobacz też: Bitcoin Slides Under $59K As Fed Rate Fears Return To Crypto
Sztuczka ClickFix podkłada bezplikowy PowerShell
W fałszywym spotkaniu wyskakujące okienko informowało, że trzeba zaktualizować Zoom SDK i oferowało szybkie rozwiązanie, podstęp znany jako ClickFix. Gdy ofiara skopiowała podane polecenia, strona po cichu nadpisała schowek i wstrzyknęła ukryty ładunek PowerShell. To jedno wklejenie dało atakującemu przyczółek bez zapisania jakiegokolwiek pliku na dysk.
Implant nawiązał łączność z zewnętrznym serwerem, zbierając loginy z przeglądarki i dane portfeli krypto oraz przejął aktywne sesje Telegram, które później posłużyły do kontaktowania się z nowymi celami z zaufanych kont. Od pierwszego kliknięcia do pełnego przejęcia systemu cały łańcuch trwał mniej niż pięć minut, co jest niezwykle szybkim czasem kompromitacji.
Deepfake’i wykorzystują ofiary, by łowić nowe cele
Fałszywe rozmowy były przekonujące, ponieważ każda kafelka uczestnika wyświetlała skradzione nagrania z kamery, generowane przez AI zdjęcia twarzy lub złożone deepfake’i wideo, pobrane z biblioteki ponad 100 wcześniejszych ofiar z 20 krajów. Śledczy powiązali syntetyczne twarze z modelem GPT-4o firmy OpenAI i prześledzili edycję do jednego operatora, który w metadanych zostawił nazwę użytkownika macOS „king”. Każda skradziona twarz zasilała potem kolejną przynętę, więc każde włamanie sprawiało, że następny atak był trudniejszy do wykrycia.
Stany Zjednoczone odpowiadały za 41% zidentyfikowanych ofiar, dalej były Singapur i Wielka Brytania. Około 80% ofiar pracowało w krypto, finansach blockchain lub zbliżonych rolach inwestycyjnych, a założyciele i dyrektorzy generalni stanowili blisko połowę.
BlueNoroff nie jest nowicjuszem w tym fachu. Grupa pojawiła się podczas napadu na bank centralny Bangladeszu w 2016 r., kiedy przelała 81 mln dol., a następnie przestawiła się na krypto w ramach długotrwałej operacji SnatchCrypto. Ta kampania pokazuje, że ten sam podręcznik działa teraz z użyciem AI, podnosząc poprzeczkę wszystkim zespołom krypto, które próbują się bronić.
Czytaj dalej: AAVE Outperforms Bitcoin As DeFi Lending Narrative Returns