Deepfake Zoom 詐騙攻擊加密圈內人士,BTC Prague 聯合創始人警告 Mac 惡意軟件
重點摘要:
- 加密貨幣內部人士正受到深偽視頻通話的攻擊,傳送macOS惡意軟體
- BTC Prague聯合創始人Martin Kuchař表示,他被盜的Telegram帳號被用來散布攻擊
- 這場活動的手法與與朝鮮有關的BlueNoroff黑客組織的策略相符
一波高度針對性的加密詐騙浪潮正在利用深偽視頻、關係聯繫和流行的工作工具。BTC Prague聯合創始人Martin Kuchař透露,攻擊者控制了他的Telegram帳號,誘使他人加入帶有惡意軟體的Zoom和Teams視頻通話。
閱讀更多:$50M秒間消失:複製粘貼錢包錯誤引發加密貨幣最昂貴的地址詐騙之一
目錄
- 深偽視頻通話作為入門點
- 與朝鮮有關的惡意軟體鏈鎖定Mac用戶
- Mac感染的運作方式
- 加密貨幣盜竊活動日益精細
深偽視頻通話作為入門點
Kuchař警告說,這些攻擊通常從Telegram或其他平台上可信聯絡人的訊息開始。受害者會收到討論此事的邀請,或在Zoom或Microsoft Teams通話中快速同步。
接到通話後,攻擊者會通過AI生成的深偽視頻冒充可信的人。他們聲稱有音頻問題,並要求受害者安裝特定的插件或檔案以解決問題。該檔案讓攻擊者可以完全控制系統。
根據Kuchař的說法,這種方法導致比特幣被盜、Telegram帳號被接管,以及通過劫持身份進一步散布詐騙。他呼籲用戶將所有Telegram訊息視為不可信,並避免未經驗證的Zoom或Teams通話。
閱讀更多:黑客劫持Binance聯合CEO易赫的微信推送迷因幣詐騙,觸發市場狂潮
與朝鮮有關的惡意軟體鏈鎖定Mac用戶
Kuchař分享的技術細節與網路安全公司Huntress的研究結果一致,該公司追蹤到類似攻擊與BlueNoroff有關,這是一個與朝鮮的Lazarus集團相關的黑客組織。
Mac感染的運作方式
攻擊始於一個偽造的Zoom域名,附有假冒的會議連結。當受害者加入通話時,會被建議下載一個名為Zoom support script的檔案。實際上,該檔案被AppleScript感染,啟動多階段攻擊。
惡意軟體工具包包括:
- Telegram 2,一個偽造的更新器,維持持久性
- Root Troy V4,一個遠端存取後門
- InjectWithDyld,一個用於加密有效載荷的隱形載入器
- XScreen,一個監控工具,記錄鍵盤輸入和螢幕活動
- CryptoBot,一個針對超過20個加密錢包的資訊竊取工具
研究人員指出,該惡意軟體會利用有效的開發者簽名,並在Apple Silicon設備上安裝Rosetta,以躲避識別。這使得攻擊較不易被察覺,尤其是對那些誤以為自己系統較不易受到攻擊的Mac用戶。
加密貨幣盜竊活動日益精細
Huntress的研究人員指出,Mac是個極佳的目標,因為越來越多的加密團體在企業中部署Mac。深偽視頻在可信度方面具有強大影響力,結合實時影像與已知平台。
Kuchař提到,基本的安全習慣有助於減少損失。他強調使用雙重驗證、密碼管理方案和硬體錢包。他也建議使用更安全的通訊工具,如Signal或Jitsi,以及選擇更安全的通話平台,例如Google Meet,因為它具有更好的沙箱機制。