Северокорейские хакеры BlueNoroff использовали фейковые звонки в Zoom и дипфейкы на базе ИИ, чтобы взломать криптокомпанию и скомпрометировать более 100 руководителей Web3 по всему миру.
Ключевые моменты
- BlueNoroff выдавали себя за юриста финтех‑компании, отправили подмененное календарное приглашение и завели жертву в поддельный Zoom‑звонок.
- Трюк ClickFix с буфером обмена запустил безфайловый PowerShell, который за менее чем пять минут захватил учетные данные и данные криптокошельков.
- Украденные видео с вебкамеры использовались для создания дипфейков, имитирующих прежних жертв, чтобы заманивать следующую волну целей.
BlueNoroff перехватывает Zoom‑звонки, чтобы опустошать кошельки
Исследователи из Arctic Wolf отследили многомесячное вторжение до группировки BlueNoroff — финансово мотивированного крыла северокорейской Lazarus Group. Кампания поразила североамериканскую Web3‑компанию 23 января 2026 года, а операторы тихо удерживали доступ 66 дней. Выдавая себя за руководителя юридического департамента финтех‑фирмы, атакующий отправил приглашение через Calendly на рутинный созвон, запланированный на пять месяцев вперед.
После подтверждения встречи ссылка Google Meet в бронировании была заменена на адрес Zoom с опечаткой, почти неотличимый от настоящего. Телеметрия позже показала, что жертва кликнула по вредоносной ссылке три раза за четыре минуты, будучи уверенной, что программа просто глючит.
Также читайте: Биткоин упал ниже $59K на фоне возвращения страхов по ставкам ФРС
Подсказка ClickFix внедряет безфайловый PowerShell
Внутри поддельной встречи всплывающее окно заявило, что нужно обновить Zoom SDK, и предложило быстрое исправление — уловку, известную как ClickFix. Когда жертва скопировала предложенные команды, страница незаметно перезаписала буфер обмена и внедрила скрытую полезную нагрузку PowerShell. Одной только вставки оказалось достаточно, чтобы дать злоумышленнику точку опоры без сохранения каких‑либо файлов на диск.
Имплант затем связался с удаленным сервером, собирая сохраненные логины браузера и данные криптокошельков, а также перехватил активные сессии Telegram, которые затем использовались для выхода на новых целей с уже доверенных аккаунтов. От первого клика до полной компрометации системы вся цепочка заняла менее пяти минут — необычно быстрый взлом.
Дипфейкы перерабатывают жертв, чтобы ловить новых целей
Фейковые звонки казались убедительными, потому что каждая плитка участника показывала украденное видео с вебкамеры, сгенерированный ИИ портрет или композитный дипфейк‑ролик из библиотеки более чем 100 прежних жертв из 20 стран. Следователи связали синтетические лица с моделью GPT-4o от OpenAI и отследили монтаж до одного оператора, который оставил имя пользователя macOS «king» в метаданных. Каждый украденный образ затем использовался в новой приманке, так что каждое новое вторжение делало последующую атаку еще труднее для обнаружения.
На долю США пришлось 41% идентифицированных жертв, далее следовали Сингапур и Великобритания. Около 80% работали в сфере криптоиндустрии, блокчейн‑финансов или смежных инвестиций, а основатели и генеральные директора составили почти половину.
BlueNoroff далеко не новичок в этом ремесле. Группировка засветилась во время ограбления Банка Бангладеш в 2016 году, когда было выведено 81 млн долларов, а затем переключилась на крипто через длительную операцию SnatchCrypto. Текущая кампания показывает, что тот же самый плейбук теперь работает на базе ИИ, повышая уровень угрозы для каждой криптокоманды, пытающейся защититься.
Читайте далее: AAVE опережает биткоин на фоне возвращения интереса к DeFi‑кредитованию