朝鲜的 BlueNoroff 黑客利用伪造的 Zoom 通话和 AI 深度伪造技术入侵一家加密公司,并暴露全球 100 多名 Web3 高管。
要点概览
- BlueNoroff 冒充金融科技律师,发送被篡改的日历邀请,将目标引导到伪造的 Zoom 通话中。
- 利用 ClickFix 剪贴板技巧运行无文件 PowerShell,在五分钟内夺取凭证和加密钱包数据。
- 被窃取的摄像头画面被送入 AI 深度伪造系统,冒充过往受害者,诱捕下一批目标。
BlueNoroff 劫持 Zoom 通话掏空钱包
Arctic Wolf 的研究人员追踪到,这场持续数月的入侵行动源自 BlueNoroff——朝鲜 Lazarus Group 旗下以牟利为目的的分支。该行动于 2026 年 1 月 23 日攻击了一家北美 Web3 公司,攻击者在系统中静默潜伏了 66 天。攻击者假扮一家金融科技公司的法务高管,发送了一封 Calendly 邀请,安排五个月后的一次例行跟进通话。
在目标确认后,预订页面将原本的 Google Meet 链接替换为一个「打错字」的 Zoom 网址,看起来与真实地址几乎一模一样。遥测数据显示,受害者在四分钟内点了这个恶意链接三次,一直以为只是软件出故障。
延伸阅读: 比特币跌破 5.9 万美元,美联储加息担忧重回加密市场
ClickFix 提示植入无文件 PowerShell
在伪造的会议中,一个弹窗声称 Zoom SDK 需要更新,并提供「快速修复」方案,这种骗局被称为 ClickFix。当受害者复制页面上给出的命令时,网页会悄悄重写剪贴板,注入隐藏的 PowerShell 载荷。只需一次粘贴,攻击者就取得了立足点,而无需在磁盘上落地任何文件。
随后,该植入程序与远程服务器通信,收集浏览器登录信息和加密钱包数据,并窃取活跃的 Telegram 会话,这些会话后来被用来从受信任账户接触新目标。从第一次点击到完全控制系统,整个攻击链不足五分钟,攻击速度异常之快。
深度伪造循环利用受害者诱捕新目标
假通话之所以显得逼真,是因为每个参会者窗口都显示了被窃取的摄像头画面、AI 生成的头像,或由深度伪造合成的视频,这些素材来自 20 个国家 100 多名既往受害者的素材库。调查人员将这些合成面孔关联到 OpenAI 的 GPT-4o 模型,并追踪到一名操作手,他在元数据中遗留了 macOS 用户名“king”。每一张被窃的面孔都会被用来制作下一次诱饵,使得每一次成功入侵都会让下一轮攻击更难被识破。
在已识别的受害者中,美国占 41%,其次是新加坡和英国。约 80% 的受害者从事加密货币、区块链金融或相关投资岗位,其中创始人或首席执行官接近一半。
BlueNoroff 并不是新面孔。该组织在 2016 年孟加拉国央行盗窃案中首次被广泛关注,当时转走了 8100 万美元,之后通过长期的 SnatchCrypto 行动转向加密货币领域。本次行动表明,旧的攻击剧本已经全面叠加了 AI,使得所有试图防守的加密团队面临更高门槛。