Хакери Північної Кореї BlueNoroff використали фейкові дзвінки в Zoom та ШІ‑діпфейки, щоб зламати криптокомпанію та скомпрометувати понад 100 керівників Web3 у всьому світі.
Ключові моменти
- BlueNoroff видавали себе за юриста з фінтеху, надіслали змінене календарне запрошення та завели жертву в підроблений Zoom‑дзвінок.
- Хитрість ClickFix із буфером обміну запустила безфайловий PowerShell, який менш ніж за п’ять хвилин захопив облікові дані й дані криптогаманців.
- Викрадені записи з вебкамери використали для ШІ‑діпфейків, що імітували попередніх жертв, щоб виманювати наступні цілі.
BlueNoroff перехоплює дзвінки в Zoom, щоб спустошувати гаманці
Дослідники з Arctic Wolf відстежили багатомісячне вторгнення до BlueNoroff, фінансово мотивованого підрозділу північнокорейської групи Lazarus Group. Кампанія вдарила по північноамериканській Web3‑компанії 23 січня 2026 року, а оператори тихо утримували доступ протягом 66 днів. Видаючи себе за керівника юридичного відділу у фінтех‑фірмі, зловмисник надіслав запрошення Calendly на звичайний дзвінок‑оновлення, запланований на п’ять місяців уперед.
Після підтвердження зустрічі посилання Google Meet в бронюванні замінили на типосквотингову Zoom‑адресу, що виглядала майже як справжня. Телеметрія пізніше показала, що жертва натискала шкідливе посилання тричі за чотири хвилини, будучи впевненою, що це просто збій програмного забезпечення.
Також читайте: Bitcoin падає нижче $59K на тлі повернення побоювань щодо ставки ФРС
Підказка ClickFix впроваджує безфайловий PowerShell
Усередині підробної зустрічі спливне вікно стверджувало, що потрібне оновлення Zoom SDK, і пропонувало швидке виправлення — прийом, відомий як ClickFix. Коли жертва скопіювала запропоновані команди, сторінка непомітно переписала буфер обміну та впорснула приховане навантаження PowerShell. Один‑єдиний «вставити» надав зловмиснику опору без жодного файлу на диску.
Імплант почав маякувати на віддалений сервер, збираючи логіни браузера та дані криптогаманців, і перехопив активні сесії Telegram, які згодом використали для виходу на нові цілі від імені довірених акаунтів. Від першого кліка до повного компрометування системи весь ланцюг тривав менш ніж п’ять хвилин — надзвичайно швидке захоплення.
Діпфейки «переплавляють» жертв у нові приманки
Фейкові дзвінки здавалися переконливими, оскільки кожне віконце учасника показувало викрадені записи з вебкамери, згенеровані ШІ портрети або композитні діпфейк‑відео, взяті з бібліотеки більш ніж 100 попередніх жертв із 20 країн. Слідчі пов’язали синтетичні обличчя з моделлю OpenAI GPT‑4o та відстежили монтаж до одного оператора, який залишив ім’я користувача macOS «king» у метаданих. Кожне викрадене обличчя ставало наступною приманкою, тож кожен новий злам робив майбутні атаки ще менш помітними.
На Сполучені Штати припало 41% ідентифікованих жертв, далі йшли Сінгапур і Велика Британія. Близько 80% працювали у сфері криптоіндустрії, блокчейн‑фінансів або суміжних інвестицій, а засновники та генеральні директори становили майже половину.
BlueNoroff — не новачок у цьому ремеслі. Група вперше засвітилася під час пограбування Банку Бангладеш у 2016 році, коли їй вдалося перевести 81 млн доларів, а згодом вона переключилася на крипто завдяки довготривалій операції SnatchCrypto. Ця кампанія демонструє, що тепер той самий сценарій працює на базі ШІ, підвищуючи планку для кожної криптокоманди, яка намагається оборонятися.
Читайте далі: AAVE випереджає Bitcoin на тлі відродження наративу DeFi‑кредитування