Північнокорейські хакери BlueNoroff використали фейкові дзвінки Zoom та діпфейки на базі ШІ, щоб зламати криптокомпанію та скомпрометувати понад 100 керівників Web3 по всьому світу.
Ключові моменти
- BlueNoroff видавали себе за юриста з фінтеху, надіслали змінене календарне запрошення та завели ціль у підроблений дзвінок Zoom.
- Трюк ClickFix із буфером обміну запускав безфайловий PowerShell, який менше ніж за п’ять хвилин захоплював облікові дані та дані криптогаманців.
- Викрадені записи з вебкамери використовувалися для створення діпфейків, що видавали себе за попередніх жертв, аби зацікавити наступну хвилю цілей.
BlueNoroff перехоплює дзвінки Zoom, щоб спорожнити гаманці
Дослідники з Arctic Wolf відстежили багатомісячне вторгнення до BlueNoroff, фінансово мотивованого крила північнокорейської групи Lazarus Group. Кампанія вдарила по північноамериканській Web3-компанії 23 січня 2026 року, і оператори тихо утримували доступ 66 днів. Видаючи себе за керівника юридичного відділу у фінтех-компанії, зловмисник надіслав запрошення Calendly на рутинний дзвінок-зустріч, запланований на п’ять місяців наперед.
Після підтвердження ціллю бронювання підмінило посилання Google Meet на схоже за написанням, але фішингове посилання Zoom, яке виглядало майже як справжнє. Телеметрія згодом показала, що жертва натиснула шкідливе посилання тричі за чотири хвилини, будучи переконаною, що програма просто дає збій.
Також читайте: Біткоїн падає нижче $59K на тлі побоювань через ставку ФРС
Трюк ClickFix вбудовує безфайловий PowerShell
Усередині підробленої зустрічі спливло вікно з попередженням, що потрібне оновлення Zoom SDK, і було запропоновано швидке виправлення — так званий трюк ClickFix. Коли жертва скопіювала запропоновані команди, сторінка непомітно переписала буфер обміну та підмінила його прихованим PowerShell-пейлоадом. Цього єдиного вставлення було достатньо, щоб надати зловмиснику точку опори, не створюючи жодного файлу на диску.
Імплант почав надсилати маячки на віддалений сервер, збираючи логіни з браузера та дані криптогаманців, а також витягнув активні сесії Telegram, які згодом використали для виходу на нові цілі з довірених облікових записів. Від першого кліку до повного компрометування системи весь ланцюжок атаки зайняв менше п’яти хвилин — незвично швидкий злам.
Діпфейки «перепаковують» жертв, щоб ловити нові цілі
Фейкові дзвінки здавалися переконливими, бо кожен квадрат із учасником показував вкрадені записи з вебкамери, згенеровані ШІ портрети або композитне діпфейк-відео з бібліотеки понад 100 попередніх жертв із 20 країн. Слідчі пов’язали синтетичні обличчя з моделлю GPT-4o від OpenAI та відстежили монтаж до одного оператора, який залишив у метаданих ім’я користувача macOS «king». Кожне вкрадене обличчя ставало приманкою для наступної атаки, тож кожен новий злам робив наступний ще важче помітним.
На США припало 41% ідентифікованих жертв, за ними йшли Сингапур і Велика Британія. Близько 80% працювали в криптоіндустрії, блокчейн-фінансах або суміжних інвестиційних ролях, а засновники та генеральні директори становили майже половину.
BlueNoroff — далеко не новачок у цій справі. Група вперше проявилася під час пограбування Банку Бангладеш у 2016 році, коли було переведено 81 млн доларів, а згодом переключилася на крипто в межах багаторічної операції SnatchCrypto. Ця кампанія показує, що той самий підхід тепер працює на основі ШІ, піднімаючи планку для кожної криптокоманди, яка намагається захиститися.
Читайте далі: AAVE випереджає біткоїн на тлі повернення наративу DeFi-кредитування