北韓的 BlueNoroff 駭客利用假 Zoom 通話與 AI 深偽技術,入侵一家加密公司,並且危及全球超過 100 名 Web3 高階主管。
重點摘要
- BlueNoroff 冒充金融科技律師,發送被竄改的行事曆邀請,將目標引導進入偽造的 Zoom 通話。
- 透過 ClickFix 剪貼簿詭計執行無檔案 PowerShell,在五分鐘內奪取憑證與加密錢包資料。
- 竊取的網路攝影機影像被用來訓練 AI 深偽,冒充先前受害者,誘捕新一輪目標。
BlueNoroff 劫持 Zoom 會議洗劫錢包
Arctic Wolf 的研究人員追蹤到,這起長達數月的入侵行動來自 BlueNoroff──北韓 Lazarus Group 旗下以財務為目的的分支。這波攻擊在 2026 年 1 月 23 日鎖定一家北美 Web3 公司,攻擊者悄悄維持存取權長達 66 天。駭客假扮一家金融科技公司的法務主管,發送 一封 Calendly 邀請,預約五個月後的一場例行電話會議。
目標確認後,預約中的 Google Meet 連結被悄悄換成一個打錯字的 Zoom 網域,看起來幾乎與真實網址一模一樣。後續遙測顯示,受害者在四分鐘內點擊惡意連結三次,一直以為只是軟體當機。
延伸閱讀:比特幣跌破 5.9 萬美元,聯準會升息疑慮再度衝擊加密市場
ClickFix 提示植入無檔案 PowerShell
在偽造會議中,彈出視窗聲稱 Zoom SDK 需要更新,並提供一組快速修復指令,這種詭計被稱為 ClickFix。當受害者將頁面提供的指令複製到剪貼簿時,該頁面會默默地改寫剪貼簿內容,注入隱藏的 PowerShell 載荷。只要一次貼上,就讓攻擊者取得立足點,而無需任何檔案落地到磁碟。
植入程式接著與遠端伺服器通訊,收集瀏覽器登入資料與加密錢包資訊,並竊取當下啟用的 Telegram 工作階段,再用這些可信帳號去接觸新的目標。從第一次點擊到系統全面淪陷,整條攻擊鍊耗時不到五分鐘,速度異常迅速。
深偽重複利用受害者影像誘捕新目標
這些假通話之所以逼真,是因為每個參與者畫面都顯示被竊取的網路攝影機影像、AI 產生的大頭照,或是深偽合成影片,素材來自超過 20 個國家、逾 100 名先前受害者的資料庫。調查人員將這些合成臉孔追溯到 OpenAI 的 GPT-4o 模型,並從中發現一名操作手在 macOS 中遺留的使用者名稱「king」於中繼資料中。每一張被竊取的臉孔都會成為下一波釣魚誘餌,使得每一次成功入侵都讓後續攻擊更難被識破。
在已識別的受害者中,美國約占 41%,其次是新加坡與英國。約 80% 受害者從事加密貨幣、區塊鏈金融或相關投資職務,創辦人與執行長約占一半。
BlueNoroff 早已在此領域身經百戰。該組織在 2016 年孟加拉銀行盜案中首次被廣泛揭露,當時成功轉走 8,100 萬美元,之後再透過長期的 SnatchCrypto 行動轉戰加密貨幣。這次行動顯示,過去的老套路如今已全面導入 AI,顯著拉高每支試圖防禦的加密團隊所面臨的門檻。