สั้นๆ
- ผู้โจมตีใช้วิดีโอคอลปลอมและ “การแก้ไขเสียง” ของ Zoom เพื่อส่งมัลแวร์ macOS
- วิธีการนี้ตรงกับวิธีการบุกรุกที่เคยบันทึกไว้ก่อนหน้านี้ ซึ่งเชื่อมโยงกับ North Korea’s BlueNoroff ซึ่งเป็นกลุ่มย่อยของ Lazarus
- เหตุการณ์นี้เกิดขึ้นในขณะที่กลโกงปลอมแปลงด้วย AI ได้ผลักดันความสูญเสียจากคริปโตไปสู่ระดับสูงสุดที่ ### พันล้านดอลลาร์ในปี 2025
แฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือยังคงใช้วิดีโอคอลสด รวมถึง Deepfake ที่สร้างด้วย AI เพื่อหลอกลวงนักพัฒนาและพนักงานคริปโตให้ติดตั้งซอฟต์แวร์อันตรายบนอุปกรณ์ของตนเอง
ในกรณีล่าสุดที่เปิดเผยโดย Martin Kuchař ผู้ร่วมก่อตั้ง BTC Prague เขากล่าวว่าผู้โจมตีใช้บัญชี Telegram ที่ถูกแฮกและวิดีโอคอลปลอมเพื่อผลักมัลแวร์ที่ปลอมตัวเป็นการแก้ไขเสียงของ Zoom
“แคมเปญแฮกระดับสูง” นี้ดูเหมือนจะ “มุ่งเป้าไปที่ผู้ใช้ Bitcoin และคริปโต” Kuchař เปิดเผยเมื่อวันพฤหัสบดีบน X
ผู้โจมตีติดต่อเหยื่อและตั้งค่าการโทร Zoom หรือ Teams, Kuchař อธิบาย ระหว่างการโทร พวกเขาใช้วิดีโอที่สร้างด้วย AI เพื่อปรากฏตัวเป็นคนที่เหยื่อรู้จัก
จากนั้นพวกเขาอ้างว่ามีปัญหาเสียงและขอให้เหยื่อ ติดตั้งปลั๊กอินหรือไฟล์เพื่อแก้ไข เมื่อทำการติดตั้งแล้ว มัลแวร์จะให้สิทธิ์เข้าถึงระบบเต็มรูปแบบแก่ผู้โจมตี ซึ่งอนุญาตให้พวกเขาขโมย Bitcoin ควบคุมบัญชี Telegram และใช้บัญชีเหล่านั้นเพื่อโจมตีผู้อื่น
เหตุการณ์นี้เกิดขึ้นในขณะที่กลโกงปลอมแปลงด้วย AI ได้ผลักดันความสูญเสียที่เกี่ยวข้องกับคริปโตไปสู่ระดับสูงสุดที่ $17 พันล้านดอลลาร์ในปี 2025 โดยผู้โจมตีใช้ Deepfake วิดีโอ การโคลนเสียง และตัวตนปลอมเพื่อหลอกลวงเหยื่อและเข้าถึงกองทุน ตามข้อมูลจากบริษัทวิเคราะห์บล็อกเชน Chainalysis
การโจมตีที่คล้ายกัน
แผนการโจมตีนี้ ตามที่ Kuchař อธิบาย มีความคล้ายคลึงกับเทคนิคที่บริษัทด้านความปลอดภัยไซเบอร์ Huntress ได้บันทึกไว้เป็นครั้งแรก ซึ่งรายงานในเดือนกรกฎาคมปีที่แล้วว่า ผู้โจมตีเหล่านี้ล่อเหยื่อคริปโตเข้าสู่การโทร Zoom ปลอมหลังจากติดต่อกันครั้งแรกบน Telegram โดยมักใช้ลิงก์การประชุมปลอมที่โฮสต์บนโดเมน Zoom ปลอม
ระหว่างการโทร ผู้โจมตีจะอ้างว่ามีปัญหาเสียงและแนะนำให้เหยื่อ ติดตั้งการแก้ไขที่ดูเหมือนเป็นของ Zoom ซึ่งจริงๆ แล้วเป็น AppleScript ที่เป็นอันตรายซึ่งเริ่มต้นการติดเชื้อ macOS หลายขั้นตอน ตามรายงานของ Huntress
เมื่อรันสคริปต์แล้ว สคริปต์จะปิดการใช้งานประวัติเชลล์ ตรวจสอบหรือ ติดตั้ง Rosetta 2 (ชั้นแปลภาษา) บนอุปกรณ์ Apple Silicon และขอรหัสผ่านระบบของผู้ใช้ซ้ำๆ เพื่อให้ได้สิทธิ์ระดับสูง
การศึกษาพบว่า มัลแวร์นี้ติดตั้ง payload หลายตัว รวมถึง backdoor ถาวร เครื่องบันทึกคีย์และคลิปบอร์ด และขโมยคริปโตวอลเล็ต ซึ่งเป็นลำดับคล้ายกับที่ Kuchař ชี้ให้เห็นเมื่อวันจันทร์ว่า บัญชี Telegram ของเขาถูกแฮกและถูกใช้ในภายหลังเพื่อโจมตีผู้อื่นในลักษณะเดียวกัน
รูปแบบทางสังคม
นักวิจัยด้านความปลอดภัยจาก Huntress ได้ระบุว่าการบุกรุกนี้มีความน่าเชื่อถือสูงว่าเชื่อมโยงกับภัยคุกคามขั้นสูงที่เชื่อมโยงกับเกาหลีเหนือ ซึ่งติดตามในชื่อ TA444 หรือ BlueNoroff และชื่ออื่นๆ อีกหลายชื่อ ภายใต้กลุ่ม Lazarus ซึ่งเป็นกลุ่มสนับสนุนโดยรัฐที่มุ่งเน้นการขโมยคริปโตตั้งแต่ปี 2017
เมื่อถามเกี่ยวกับเป้าหมายการดำเนินงานของแคมเปญเหล่านี้และว่าพวกเขาคิดว่ามีความสัมพันธ์กันหรือไม่ Shān Zhang หัวหน้าเจ้าหน้าที่ความปลอดภัยข้อมูลของบริษัทความปลอดภัยบล็อกเชน Slowmist บอก Decrypt ว่า การโจมตีล่าสุดบน Kuchař “อาจ” เชื่อมโยงกับแคมเปญที่กว้างขึ้นของกลุ่ม Lazarus
“มีการใช้ซ้ำกันอย่างชัดเจนในแต่ละแคมเปญ เราเห็นเป้าหมายของกระเป๋าเงินเฉพาะและการใช้สคริปต์ติดตั้งที่คล้ายกันอย่างต่อเนื่อง” David Liberman ผู้ร่วมสร้างเครือข่ายคำนวณ AI แบบกระจาย Gonka กล่าวกับ Decrypt
ภาพและวิดีโอ “ไม่สามารถถือเป็นหลักฐานความถูกต้องที่เชื่อถือได้อีกต่อไป” Liberman กล่าว พร้อมเสริมว่า เนื้อหาดิจิทัล “ควรได้รับการลงนามด้วยลายเซ็นดิจิทัลโดยผู้สร้าง และลายเซ็นเหล่านั้นควรต้องมีการยืนยันตัวตนแบบหลายปัจจัย”
เรื่องราวในบริบทเช่นนี้ ได้กลายเป็น “สัญญาณสำคัญในการติดตามและตรวจจับ” เนื่องจากการโจมตีเหล่านี้ “พึ่งพาแบบแผนทางสังคมที่คุ้นเคย” เขากล่าว
กลุ่ม Lazarus ของเกาหลีเหนือเชื่อมโยงกับแคมเปญต่อต้านบริษัทคริปโต พนักงาน และนักพัฒนา โดยใช้มัลแวร์ที่ปรับแต่งมาเป็นพิเศษและกลยุทธ์ทางสังคมที่ซับซ้อนเพื่อขโมยสินทรัพย์ดิจิทัลและข้อมูลรับรองการเข้าถึง
