Deepfake Zoom诈骗袭击加密内部人士,BTC布拉格联合创始人警告Mac恶意软件
主要要点:
- 加密货币内部人士正受到深度伪造视频通话的攻击,传播macOS恶意软件
- BTC Prague联合创始人Martin Kuchař表示,他被盗的Telegram账户被用来传播攻击
- 该行动与与朝鲜有关的BlueNoroff黑客的战术相匹配
一波高度针对性的加密诈骗利用深度伪造视频、关系联系人和流行的工作工具。BTC Prague联合创始人Martin Kuchař透露,攻击者控制了他的Telegram账户,诱导他人通过Zoom和Teams视频通话下载恶意软件。
阅读更多:$5000万秒失:复制粘贴钱包错误引发加密货币最昂贵的地址诈骗之一
目录
- 深度伪造视频通话作为入门点
- 与朝鲜有关的恶意软件链针对Mac用户
- Mac感染的工作原理
- 加密盗窃行动变得更加复杂
深度伪造视频通话作为入门点
Kuchař警告说,攻击通常从Telegram或其他平台上可信联系人发来的消息开始。受害者会收到讨论事项的邀请,或在Zoom或Microsoft Teams中快速同步。
接到电话后,攻击者通过AI生成的深度伪造视频冒充可信联系人。他们声称存在音频问题,并要求受害者安装特定插件或文件以解决问题。该文件让攻击者可以完全访问系统。
据Kuchař介绍,这种方法导致比特币被盗、Telegram账户被接管,以及通过劫持身份进一步传播诈骗。他敦促用户将所有Telegram消息视为不可信,避免未验证的Zoom或Teams通话。
阅读更多:黑客劫持Binance联合CEO易赫的微信,推送迷因币骗局,引发市场狂潮
与朝鲜有关的恶意软件链针对Mac用户
Kuchař分享的技术细节与网络安全公司Huntress的研究一致,该公司追踪到类似攻击与BlueNoroff有关,后者是与朝鲜拉撒路斯集团有关的黑客组织。
Mac感染的工作原理
攻击始于一个伪造的Zoom域名,带有虚假的会议链接。当受害者发起通话时,会被建议下载名为Zoom support script的文件。实际上,该文件被AppleScript感染,启动多阶段攻击。
恶意软件工具包包括:
- Telegram 2,一个伪造的更新程序,保持持久性
- Root Troy V4,一个远程访问后门
- InjectWithDyld,一个用于加密载荷的隐形加载器
- XScreen,一个监控工具,记录键盘输入和屏幕活动
- CryptoBot,一个针对20多个加密钱包的信息窃取器
研究人员指出,恶意软件会利用有效的开发者签名,并在Apple Silicon设备上安装Rosetta,以规避检测。这使得攻击不易被发现,尤其是那些误以为自己系统不易受到攻击的Mac用户。
加密盗窃行动变得更加复杂
Huntress的研究人员指出,Mac是一个极佳的目标,因为越来越多的加密团体在企业中部署Mac。深度伪造视频在可信度方面具有强大作用,将实时图像与已知平台结合。
Kuchař强调的基本安全习惯帮助他减少了损失。他强调使用双因素认证、密码管理方案和硬件钱包。他还建议使用更安全的通信工具,如Signal或Jitsi,以及比Google Meet更安全的浏览器,以实现更好的沙箱环境。
相关文章