北韓的 BlueNoroff 駭客利用假 Zoom 通話和 AI 深偽技術,入侵一間加密公司,並在全球範圍內攻陷逾 100 名 Web3 高管。
重點摘要
- BlueNoroff 冒充金融科技律師,發送被篡改的行事曆邀請,誘導目標進入仿冒的 Zoom 通話。
- 透過 ClickFix 剪貼簿詭計,執行無檔案的 PowerShell,在五分鐘內奪取登入憑證及加密錢包數據。
- 竊取的網路攝影機畫面被用來製作 AI 深偽影片,冒充既有受害者,誘餌下一輪攻擊目標。
BlueNoroff 劫持 Zoom 通話洗劫錢包
Arctic Wolf 的研究人員追查到這次長達數月的入侵行動是出自 BlueNoroff 之手,該組織是北韓 Lazarus Group 旗下、以財務為目標的分支。這場行動於 2026 年 1 月 23 日鎖定一家北美 Web3 公司,攻擊者靜默維持存取權長達 66 日。攻擊者假扮一間金融科技公司的法務主管,發送 一個 Calendly 邀約,安排五個月後的一次例行視像會議。
目標確認後,預約中的 Google Meet 連結被悄悄替換成一個「打錯字」的假 Zoom 網址,看起來與真實連結幾乎一模一樣。遙測數據顯示,受害者在四分鐘內三次點擊該惡意連結,一直以為只是軟件故障。
延伸閱讀: 比特幣跌破 59,000 美元,美聯儲升息疑慮重返加密市場
ClickFix 提示植入無檔案 PowerShell
在這個仿冒會議室內,一個彈出視窗聲稱 Zoom SDK 需要更新,並提供快速修復,這種詭計被稱為 ClickFix。當受害者複製頁面提供的指令時,網頁會悄悄改寫剪貼簿內容,注入隱藏的 PowerShell 負載。只要貼上一次,攻擊者就取得立足點,而無需在硬碟上留下任何檔案。
植入程式隨後向遠端伺服器回傳訊號,蒐集瀏覽器登入資料與加密錢包資訊,並竊取當前啟用的 Telegram 工作階段,之後再用這些受信任帳號接觸新目標。從第一次點擊到系統全面淪陷,整條攻擊鏈在五分鐘內完成,速度異常迅速。
深偽技術回收受害者影像,套索新獵物
假通話之所以如此逼真,是因為每個會議參與者的視窗都顯示被竊的網路攝影機畫面、AI 生成頭像,或深偽合成影片,這些素材來自橫跨 20 個國家、超過 100 名既有受害者的資料庫。調查人員將這些合成臉孔追溯到 OpenAI 的 GPT-4o 模型,並發現有一名操作手在 macOS 中留下「king」這個使用者名稱於中繼資料中。每張被盜用的臉都成為下一次誘餌,使得每一次成功入侵都會令後續攻擊更難被察覺。
美國佔已識別受害者的 41%,其後依次為新加坡和英國。約 80% 受害者從事加密貨幣、區塊鏈金融或相關投資工作,而創辦人與執行長接近佔了一半。
BlueNoroff 並非新手。該組織在 2016 年孟加拉銀行盜款案中首度浮出檯面,當時轉走了 8,100 萬美元,其後透過長期的 SnatchCrypto 行動轉向加密貨幣領域。這次行動顯示,舊有的攻擊劇本如今已全面搭載 AI,對所有試圖防禦的加密團隊大幅抬高了門檻。