Северокорейские хакеры BlueNoroff использовали поддельные звонки в Zoom и дипфейки на базе ИИ, чтобы взломать крипто‑компанию и скомпрометировать более 100 руководителей Web3 по всему миру.
Ключевые моменты
- BlueNoroff выдавали себя за юриста финтех‑компании, отправили подмененное приглашение в календаре и завели жертву в поддельный звонок Zoom.
- Трюк ClickFix с буфером обмена запустил безфайловый PowerShell, который менее чем за пять минут захватил учетные данные и данные криптокошельков.
- Украденные записи с вебкамеры использовались для создания дипфейков, имитирующих прошлых жертв, чтобы заманивать следующую волну целей.
BlueNoroff перехватывает звонки в Zoom, чтобы опустошать кошельки
Исследователи из Arctic Wolf отследили многомесячное вторжение до BlueNoroff, финансово мотивированного подразделения северокорейской группы Lazarus Group. Кампания поразила североамериканскую Web3‑компанию 23 января 2026 года, и операторы тихо удерживали доступ 66 дней. Выдавая себя за руководителя юридического отдела финтех‑фирмы, злоумышленник отправил приглашение через Calendly для обычного созвона, запланированного на пять месяцев вперед.
После того как цель подтвердила встречу, в бронировании ссылка Google Meet была заменена на адрес Zoom с типо‑сквоттингом, который выглядел почти идентично настоящему. Телеметрия позже показала, что жертва кликнула по вредоносной ссылке три раза за четыре минуты, будучи уверенной, что программа просто глючит.
Также читайте: Биткоин падает ниже $59K на фоне возобновившихся опасений по ставкам ФРС
Подсказка ClickFix внедряет безфайловый PowerShell
В поддельной встрече всплывающее окно заявляло, что необходимо обновить Zoom SDK, и предлагало быстрое исправление — уловку, известную как ClickFix. Когда жертва копировала предложенные команды, страница незаметно переписывала буфер обмена и внедряла скрытый полезный нагрузок PowerShell. Одной этой вставки было достаточно, чтобы дать злоумышленнику точку опоры, при этом ни один файл так и не попал на диск.
Имплант затем устанавливал маячок на удаленный сервер, собирал сохраненные логины браузера и данные криптокошельков, а также перехватывал активные сессии Telegram, которые позже использовались для обращения к новым целям с уже доверенных аккаунтов. От первого клика до полного компрометации системы вся цепочка занимала менее пяти минут — необычайно быстрое взломывание.
Дипфейки «перерабатывают» жертв, чтобы ловить новые цели
Поддельные звонки казались правдоподобными, потому что на каждом «окошке» участника показывалась украденная запись с вебкамеры, сгенерированный ИИ портрет или композитное дипфейк‑видео, взятое из библиотеки более чем 100 прежних жертв из 20 стран. Следователи связали синтетические лица с моделью GPT-4o компании OpenAI и отследили монтаж до одного оператора, который оставил в метаданных имя пользователя macOS «king». Каждое украденное лицо затем становилось основой для следующей приманки, поэтому каждый новый взлом делал последующую атаку еще труднее заметить.
На долю США пришлось 41% выявленных жертв, за ними следовали Сингапур и Соединенное Королевство. Около 80% пострадавших работали в криптоиндустрии, блокчейн‑финансах или смежных инвестиционных ролях, а основатели и генеральные директора составляли почти половину.
BlueNoroff давно известна в этой сфере. Группа впервые заявила о себе во время ограбления Банка Бангладеш в 2016 году, когда было выведено 81 млн долларов, а затем переключилась на криптовалюты через продолжительную операцию SnatchCrypto. Эта кампания показывает, что тот же сценарий теперь работает на ИИ, повышая планку для каждой криптокоманды, пытающейся защититься.
Читайте далее: AAVE обгоняет биткоин на фоне возвращения интереса к DeFi‑кредитованию