北韓的 BlueNoroff 駭客利用假的 Zoom 通話與 AI 深度偽造影片,入侵一家加密公司,並在全球範圍內危及超過 100 名 Web3 高管。
重點摘要
- BlueNoroff 冒充金融科技律師,寄出被動手腳的行事曆邀請,誘導目標進入仿冒的 Zoom 通話。
- 透過 ClickFix 剪貼簿詭計執行無檔案 PowerShell,在五分鐘內奪取帳密與加密錢包資料。
- 竊取的網路攝影機畫面被餵給 AI 產生深偽影片,假扮先前受害者,引誘下一輪目標上鉤。
BlueNoroff 劫持 Zoom 通話掏空錢包
Arctic Wolf 的研究人員追查數月的入侵行動,將其鎖定為北韓 Lazarus Group 旗下、以金錢為目的的分支 BlueNoroff。該行動在 2026 年 1 月 23 日鎖定一家北美 Web3 公司,攻擊者在系統中默默維持存取權長達 66 天。攻擊者假扮一家金融科技公司的法務主管,寄出 一封 Calendly 例行 catch-up 通話邀請,時間排在五個月後。
目標確認後,預約中的 Google Meet 連結被悄悄換成與正版幾乎一樣、但有錯字的 Zoom 網址。遙測資料顯示,受害者在四分鐘內點擊惡意連結三次,一直以為只是軟體在當機。
延伸閱讀:比特幣跌破 59,000 美元,聯準會升息疑慮再度衝擊加密市場
ClickFix 提示植入無檔案 PowerShell
在偽造的會議畫面中,一個彈出視窗聲稱 Zoom SDK 需要更新,並提供快速修復,這種騙術被稱為 ClickFix。當受害者複製頁面提供的指令時,該頁面會在背後改寫剪貼簿內容,注入隱藏的 PowerShell 有效載荷。只要貼上一次,攻擊者就取得立足點,而不需有任何檔案寫入磁碟。
植入程式隨後對遠端伺服器發出信標,收集瀏覽器登入資料與加密錢包資訊,並竊取當前的 Telegram 工作階段,稍後再用這些已受信任帳號接觸新目標。從第一次點擊到全面攻陷系統,整條攻擊鏈不到五分鐘,速度相當罕見。
深偽技術回收受害者影像獵捕新目標
這些假通話之所以看起來逼真,是因為會議中每個參與者的畫面格都顯示被竊取的網路攝影機影像、AI 生成的大頭照,或是深偽合成影片,來源是一個涵蓋 20 個國家、超過 100 名過往受害者的素材庫。調查人員將這些合成臉孔追溯到 OpenAI 的 GPT-4o 模型,並在後製檔案中發現一名操作手留下的 macOS 使用者名稱「king」。每一張被竊的臉都成為下一個誘餌,使得每次成功入侵都讓下一波攻擊更難被察覺。
在已辨識出的受害者中,美國占了 41%,新加坡與英國緊隨其後。約 80% 受害者任職於加密貨幣、區塊鏈金融或相關投資領域,其中創辦人與執行長約占一半。
BlueNoroff 並非新手。該組織早在 2016 年孟加拉央行盜匯案中就曾現身,當時轉走 8,100 萬美元,之後透過長期的 SnatchCrypto 行動轉向加密貨幣領域。這次行動顯示,同一套劇本如今已全面升級為 AI 驅動,讓所有試圖防禦的加密團隊都面臨更高門檻。