Nord-Korea-knyttede hackingtrusler
Nord-Korea-knyttede hackere fortsetter å bruke live videokall, inkludert AI-genererte deepfakes, for å lure kryptovaluta-utviklere og arbeidere til å installere skadelig programvare på sine egne enheter. I det nyeste tilfellet, som ble avslørt av BTC Prague-medgründer Martin Kuchař, brukte angriperne en kompromittert Telegram-konto og et iscenesatt videokall for å presse malware forkledd som en Zoom-lydfiks.
Den «høynivå hackingkampanjen» ser ut til å «målrette Bitcoin og kryptobrukere,» avslørte Kuchař torsdag på X.
Angriperne kontakter offeret og setter opp et Zoom- eller Teams-kall. Under samtalen bruker de en AI-generert video for å fremstå som noen offeret kjenner. De påstår deretter at det er et lydproblem og ber offeret om å installere et plugin eller en fil for å fikse det. Når det er installert, gir malware angriperne full systemtilgang, noe som lar dem stjele Bitcoin, ta over Telegram-kontoer og bruke disse kontoene til å målrette andre.
Økende trussel fra AI-drevne angrep
Dette skjer samtidig som AI-drevne impersonasjonsbedragerier har ført til kryptorelaterte tap på rekordhøye 17 milliarder dollar i 2025, med angripere som i økende grad bruker deepfake-video, stemmekloning og falske identiteter for å lure ofre og få tilgang til midler, ifølge data fra blockchain-analysefirmaet Chainalysis.
Angrepet, som beskrevet av Kuchař, samsvarer nært med en teknikk først dokumentert av cybersikkerhetsselskapet Huntress, som rapporterte i juli i fjor at disse angriperne lokker en målrettet kryptovaluta-arbeider inn i et iscenesatt Zoom-kall etter første kontakt på Telegram, ofte ved å bruke en falsk møtelink som er vert på et spoofed Zoom-domene.
Malware og angrepsmetoder
Under samtalen ville angriperne påstå at det er et lydproblem og instruere offeret om å installere det som ser ut til å være en Zoom-relatert fiks, som faktisk er et ondsinnet AppleScript som initierer en flertrinns macOS-infeksjon. Når skriptet er utført, deaktiverer det shell-historikk, sjekker for eller installerer Rosetta 2 (et oversettelseslag) på Apple Silicon-enheter, og ber gjentatte ganger brukeren om systempassordet for å oppnå hevede privilegier.
Studien fant at malware-kjeden installerer flere payloads, inkludert vedvarende bakdører, keylogging- og utklippstavleverktøy, samt kryptovaluta-lommeboktyver. Dette er en lignende sekvens Kuchař pekte på da han avslørte mandag at hans Telegram-konto var kompromittert og senere brukt til å målrette andre på samme måte.
Trusselaktører og deres mål
Sikkerhetsforskere hos Huntress har med høy tillit knyttet inntrengningen til en Nord-Korea-knyttet avansert vedvarende trussel som spores som TA444, også kjent som BlueNoroff og flere andre aliaser som opererer under paraplybegrepet Lazarus Group, en statssponset gruppe fokusert på kryptovaluta-tyveri siden minst 2017.
«Det er tydelig gjenbruk på tvers av kampanjer. Vi ser konsekvent målretting av spesifikke lommebøker og bruk av svært lignende installasjons-skript,» sa David Liberman, medskaper av det desentraliserte AI-beregning-nettverket Gonka, til Decrypt.
Bilder og video «kan ikke lenger behandles som pålitelig bevis på ekthet,» sa Liberman, og la til at digitalt innhold «bør være kryptografisk signert av sin skaper, og slike signaturer bør kreve multifaktorautorisering.» Fortellinger, i kontekster som dette, har blitt «et viktig signal å spore og oppdage» gitt hvordan disse angrepene «stoler på kjente sosiale mønstre,» sa han.
Nord-Koreas Lazarus Group er knyttet til kampanjer mot kryptofirmaer, arbeidere og utviklere, og bruker skreddersydd malware og sofistikert sosial manipulering for å stjele digitale eiendeler og tilgangslegitimasjon.
