แฮ็กเกอร์ BlueNoroff ของเกาหลีเหนือใช้สายวิดีโอปลอมบน Zoom ที่สร้างด้วย AI เจาะระบบผู้บริหารคริปโตกว่า 100 ราย

แฮ็กเกอร์ BlueNoroff ของเกาหลีเหนือใช้สาย Zoom ปลอมและดีพเฟก AI เจาะบริษัทคริปโตและล้วงข้อมูลผู้บริหาร Web3 ทั่วโลกมากกว่า 100 ราย

ประเด็นสำคัญ

• BlueNoroff สวมรอยเป็นทนายสายฟินเทค ส่งคำเชิญปฏิทินที่ถูกดัดแปลง และล่อเหยื่อให้เข้าร่วมสาย Zoom ปลอม
• เทคนิค ClickFix ดัดแปลงคลิปบอร์ดให้รัน PowerShell แบบไร้ไฟล์ ยึดข้อมูลเข้าสู่ระบบและกระเป๋าคริปโตได้ในไม่ถึงห้านาที
• วิดีโอกล้องเว็บแคมที่ถูกขโมยถูกนำไปสร้างดีพเฟก เลียนแบบเหยื่อเก่าเพื่อหลอกกลุ่มเป้าหมายชุดถัดไป

BlueNoroff ฮิแจ็กสาย Zoom เพื่อดูดเงินจากกระเป๋าคริปโต

นักวิจัยจาก Arctic Wolf ติดตาม การโจมตีที่ยืดเยื้อนานหลายเดือนย้อนกลับไปถึง BlueNoroff หน่วยย่อยที่มุ่งหวังผลประโยชน์ทางการเงินของกลุ่ม Lazarus Group ของเกาหลีเหนือ แคมเปญนี้เล่นงานบริษัท Web3 ในอเมริกาเหนือเมื่อวันที่ 23 ม.ค. 2026 และผู้โจมตีแอบยึดการเข้าถึงระบบไว้เงียบๆ เป็นเวลา 66 วัน โดยสวมบทเป็นผู้บริหารฝ่ายกฎหมายของบริษัทฟินเทค ผู้โจมตีได้ ส่ง คำเชิญ Calendly สำหรับสายคุยอัปเดตงานตามปกติที่นัดล่วงหน้าไปถึงห้าเดือน

หลังจากเป้าหมายกดยืนยันแล้ว ลิงก์ Google Meet ในการจองก็ถูกสลับเป็นที่อยู่ Zoom แบบพิมพ์ผิด (typo-squatted) ที่ดูคล้ายของจริงมาก ข้อมูลเทเลเมตรียืนยันว่าเหยื่อคลิกลิงก์อันตรายดังกล่าวถึงสามครั้งในสี่นาที เพราะคิดว่าโปรแกรมกำลังรวน

อ่านเพิ่มเติม: บิตคอยน์ร่วงต่ำกว่า $59K หลังความกังวลดอกเบี้ยเฟดกลับมากดดันคริปโต

ClickFix หลอกให้รัน PowerShell แบบไร้ไฟล์

ภายในห้องประชุมปลอมจะมีป็อปอัปแจ้งว่า Zoom SDK ต้องอัปเดต และเสนอวิธีแก้ปัญหาอย่างรวดเร็วหรือ ClickFix เมื่อเหยื่อคัดลอกคำสั่งที่ให้ไว้ หน้าเว็บจะ เขียนทับ ข้อความในคลิปบอร์ดแบบเงียบๆ และฉีดเพย์โหลด PowerShell ที่ซ่อนอยู่ลงไป การวางเพียงครั้งเดียวทำให้ผู้โจมตีได้จุดยึดในระบบโดยที่ไม่มีไฟล์ใดถูกบันทึกลงดิสก์

จากนั้นตัวฝัง (implant) จะติดต่อกลับไปยังเซิร์ฟเวอร์ระยะไกล ดูดข้อมูลเข้าสู่ระบบในเบราว์เซอร์และข้อมูลกระเป๋าคริปโต พร้อมทั้ง ขโมยเซสชัน Telegram ที่กำลังใช้งาน เพื่อนำไปใช้ติดต่อเหยื่อรายใหม่ผ่านบัญชีที่ดูน่าเชื่อถือ ตั้งแต่คลิกครั้งแรกจนถึงยึดระบบได้เต็มที่ กระบวนการทั้งหมดใช้เวลาไม่ถึงห้านาที ซึ่งถือว่าเร็วผิดปกติ

ดีพเฟกใช้เหยื่อเก่าเป็นเหยื่อล่อรายใหม่

สายปลอมเหล่านี้ดูสมจริงเพราะช่องวิดีโอของผู้เข้าร่วมทุกคน แสดง ฟุตเทจกล้องเว็บแคมที่ถูกขโมย ภาพใบหน้าที่สร้างด้วย AI หรือวิดีโอคอมโพสิตดีพเฟก ซึ่งดึงมาจากคลังเหยื่อกว่า 100 รายใน 20 ประเทศ นักสืบด้านความปลอดภัยเชื่อมโยงใบหน้าเทียมเหล่านี้เข้ากับโมเดล GPT-4o ของ OpenAI และตามรอยงานตัดต่อไปถึงผู้ปฏิบัติการรายหนึ่งที่เผลอทิ้งชื่อผู้ใช้ macOS ว่า "king" ไว้ในเมทาดาทา ใบหน้าที่ถูกขโมยแต่ละรายถูกนำไปใช้เป็นเหยื่อล่อครั้งต่อไป ทำให้ทุกการเจาะระบบยิ่งทำให้การโจมตีรอบหน้าจับได้ยากขึ้น

สหรัฐอเมริกามีสัดส่วนเหยื่อที่ถูกระบุได้ 41% ตามมาด้วยสิงคโปร์และสหราชอาณาจักร ราว 80% ทำงานในสายคริปโต การเงินบล็อกเชน หรือการลงทุนที่เกี่ยวเนื่อง และผู้ก่อตั้งหรือซีอีโอมีสัดส่วนเกือบครึ่งหนึ่งของเหยื่อทั้งหมด

BlueNoroff ไม่ใช่ผู้เล่นหน้าใหม่ในวงการนี้ กลุ่มนี้เริ่มเป็นที่จับตาจากเหตุโจมตีธนาคารบังกลาเทศปี 2016 ซึ่งมีการเคลื่อนย้ายเงิน 81 ล้านดอลลาร์ จากนั้นจึงหันมาล่าคริปโตผ่านปฏิบัติการ SnatchCrypto ที่ยืดเยื้อมายาวนาน แคมเปญครั้งนี้แสดงให้เห็นว่า “สมุดเกม” ชุดเดิมถูกยกระดับด้วย AI แล้ว ทำให้ทุกทีมคริปโตที่ต้องป้องกันตัวเองต้องยกระดับมาตรฐานตามไปด้วย

อ่านถัดไป: AAVE ทำผลงานแซงบิตคอยน์ เมื่อกระแสการปล่อยกู้ใน DeFi กลับมาอีกครั้ง