Глубокие фейковые Zoom-мошенничества поражают криптоинсайдеров, поскольку соучредитель BTC Prague предупреждает о вредоносном ПО для Mac

Ключевые выводы:

• Инсайдеры в криптоиндустрии становятся целью глубоких фейк-видео-звонков, распространяющих malware для macOS
• Соучредитель BTC Prague Мартин Кучар заявил, что его украденный аккаунт в Telegram использовался для распространения атаки
• Кампания соответствует тактикам, связанным с хакерами из BlueNoroff, связанных с Северной Кореей

Волна криптовымогательств с высоким уровнем целенаправленности использует глубокие фейк-видео, контакты в отношениях и популярные рабочие инструменты. Соучредитель BTC Prague Мартин Кучар сообщил, что злоумышленники контролировали его аккаунт в Telegram, чтобы заманить других в видеозвонки Zoom и Teams с malware.

Подробнее: $50М исчезают за секунды: ошибка копирования и вставки в кошелек вызывает одну из самых дорогостоящих мошеннических схем с адресами в криптовалюте

Оглавление

• Глубокие фейк-видео-звонки как точка входа
• Цепочка вредоносных программ, связанных с Северной Кореей, нацелена на пользователей Mac
  • Как работает заражение Mac
  • Кампании по краже криптовалют становятся все более изощренными

Глубокие фейк-видео-звонки как точка входа

Кучар предупредил, что атаки часто начинаются с сообщений от доверенных контактов в Telegram или других платформах. Жертвы получают приглашение обсудить вопрос или быстро синхронизироваться в видеозвонке Zoom или Microsoft Teams.

После получения звонка злоумышленники маскируются под доверенного человека с помощью AI-сгенерированного глубокого фейк-видео. Они заявляют, что есть проблема с аудио и просят жертву установить определённый плагин или файл для устранения проблемы. Этот файл дает злоумышленникам полный доступ к системе.

По словам Кучара, этот метод привел к краже Bitcoin, захвату аккаунтов в Telegram и дальнейшему распространению мошенничества через захваченные личности. Он призвал пользователей относиться ко всем сообщениям в Telegram как к ненадежным и избегать неподтвержденных звонков в Zoom или Teams.

Подробнее: Хакеры захватили WeChat со-генерального директора Binance Йи Хэ, чтобы запустить мошенничество с мем-коинами, вызвав рыночную суматоху

Цепочка вредоносных программ, связанных с Северной Кореей, нацелена на пользователей Mac

Технические детали, предоставленные Кучаром, совпадают с исследованиями компании Huntress, которая проследила подобные атаки до BlueNoroff — хакерской группы, связанной с Lazarus Group из Северной Кореи.

Как работает заражение Mac

Атака начинается с поддельного домена Zoom с фальшивой ссылкой на встречу. Когда жертвы совершают звонок, им советуют скачать файл под названием Zoom support script. На самом деле, файл заражен AppleScript, который запускает многоэтапную атаку.

Инструментарий malware включает:

• Telegram 2, поддельный обновитель, поддерживающий постоянство
• Root Troy V4, удаленный бекдор
• InjectWithDyld, скрытый загрузчик зашифрованных полезных нагрузок
• XScreen, инструмент слежки, регистрирующий нажатия клавиш и активность на экране
• CryptoBot, инфостилер, нацеленный на более чем 20 криптовалютных кошельков

Исследователи указывают, что malware использует действительные подписи разработчиков и размещает Rosetta на устройствах с Apple Silicon, чтобы избежать обнаружения. Это делает атаку менее заметной, особенно для пользователей Mac, которые ошибочно полагают, что их системы менее уязвимы.

Кампании по краже криптовалют становятся все более изощренными

Исследователи Huntress отмечают, что Mac является отличной целью, поскольку все больше криптогрупп используют Mac в корпоративных целях. Глубокое фейк-видео значительно повышает доверие, сочетая реальные изображения с известной платформой.

Базовые меры безопасности, рекомендованные Кучаром, помогли снизить его потери. Он подчеркнул важность использования двухфакторной аутентификации, решений для паролей и аппаратных кошельков. Также он посоветовал более безопасные средства коммуникации, такие как Signal или Jitsi, и более защищенные браузеры для звонков, например Google Meet, благодаря большему уровню изоляции.