ディープフェイクZoom詐欺が暗号業界のインサイダーを襲う、BTCプラハ共同創設者がMacマルウェアの警告
重要ポイント:
- 仮想通貨のインサイダーは、macOSマルウェアを配信するディープフェイクビデオ通話の標的になっている
- BTCプラハの共同創設者マーティン・クチャルは、盗まれたTelegramアカウントが攻撃の拡散に利用されたと述べている
- このキャンペーンは、北朝鮮関連のBlueNoroffハッカーに関連する戦術と一致している
高度にターゲットを絞った仮想通貨詐欺の波が、ディープフェイクビデオ、関係者の連絡先、そして人気のある仕事用ツールを悪用している。BTCプラハの共同創設者、マーティン・クチャルは、攻撃者が彼のTelegramアカウントを制御し、マルウェアを仕込んだZoomやTeamsのビデオ通話に他者を誘導したことを明らかにした。
続きを読む:$50Mが秒で消失:コピペウォレットエラーが仮想通貨の最も高額なアドレス詐欺の一つを引き起こす
目次
- ディープフェイクビデオ通話が侵入口として利用される
- 北朝鮮関連マルウェアチェーンがMacユーザーを標的
- Mac感染の仕組み
- 仮想通貨窃盗キャンペーンがより高度化
ディープフェイクビデオ通話が侵入口として利用される
クチャルは、攻撃はしばしばTelegramや他のプラットフォーム上の信頼できる連絡先からのメッセージで始まると警告している。被害者は、問題について話し合う招待を受けたり、ZoomやMicrosoft Teamsの通話で短時間の同期を行ったりする。
通話を受けた後、攻撃者はAI生成のディープフェイクビデオを使って信頼できる人物になりすます。彼らは音声に問題があると述べ、被害者に特定のプラグインやファイルをインストールさせて問題を解決させようとする。そのファイルは攻撃者にシステムへの完全なアクセスを許す。
クチャルによると、この方法でビットコインの窃盗、Telegramアカウントの乗っ取り、さらにはハイジャックされた身元を使った詐欺の拡散が行われたという。彼は、すべてのTelegramメッセージを信頼できないものとして扱い、未検証のZoomやTeamsの通話を避けるようユーザーに呼びかけた。
続きを読む:ハッカーがBinanceの共同CEO、イ・ヘのWeChatを乗っ取りミームコイン詐欺を仕掛け、市場を沸騰させる
北朝鮮関連マルウェアチェーンがMacユーザーを標的
クチャルが共有した技術的詳細は、サイバーセキュリティ企業Huntressの調査結果と一致しており、同様の攻撃を北朝鮮のラザルスグループに関連付けるBlueNoroffに追跡している。
Mac感染の仕組み
攻撃は、偽のZoomドメインと偽のミーティングリンクを用いたスプーフされたリンクから始まる。被害者が通話を開始すると、「Zoomサポートスクリプト」という名前のファイルをダウンロードするように促される。実際には、そのファイルはAppleScriptに感染しており、多段階の攻撃を開始する。
マルウェアのツールキットは以下で構成される:
- Telegram 2:持続性を維持する偽のアップデータ
- Root Troy V4:リモートアクセスバックドア
- InjectWithDyld:暗号化されたペイロードのステルスローダー
- XScreen:キーストロークや画面活動を記録する監視ツール
- CryptoBot:20以上の仮想通貨ウォレットをターゲットにした情報窃盗ツール
研究者は、このマルウェアが有効な開発者署名を利用し、Apple SiliconデバイスにRosettaを配置して識別を回避していると指摘している。これにより、特に自分のシステムが脆弱でないと誤信しているMacユーザーにとって、攻撃の検出が難しくなる。
仮想通貨窃盗キャンペーンがより高度化
Huntressの研究者は、Macが優れたターゲットであると指摘している。なぜなら、増え続ける仮想通貨グループがMacを企業向けに展開しているからだ。ディープフェイクビデオは、リアルタイムの画像と既知のプラットフォームを組み合わせることで、信頼性の要素を強化している。
クチャルが明らかにした基本的なセキュリティ習慣は、彼の損失を抑えるのに役立った。彼は二要素認証、パスワード管理ソリューション、ハードウェアウォレットの使用を強調した。また、SignalやJitsiなどのより安全な通信ツールや、Google Meetのようなサンドボックス化されたより安全な通話を推奨している。
関連記事