Глибокі підробки у Zoom та шахрайські схеми вражають криптоінсайдерів, оскільки співзасновник BTC Prague попереджає про шкідливе програмне забезпечення для Mac

Ключові висновки:

• Інсайдери у криптовалютній сфері стають ціллю глибоких фейкових відеодзвінків, що поширюють malware для macOS
• Співзасновник BTC Prague Мартін Кучар повідомив, що його викрадений акаунт у Telegram використовувався для поширення атаки
• Кампанія відповідає тактикам, пов’язаним із хакерами з Північної Кореї — BlueNoroff

Хвиля криптовалютних шахрайств із високим рівнем цілеспрямованості використовує глибокі фейки у відео, контакти у стосунках та популярні робочі інструменти. Співзасновник BTC Prague Мартін Кучар повідомив, що зловмисники контролювали його акаунт у Telegram, щоб заманити інших у відеодзвінки через Zoom і Teams із malware.

Детальніше: $50М зникає за секунди: помилка копіювання гаманця викликає один із найдорожчих шахрайств з криптоадресами

Зміст

• Глибокі фейкові відеодзвінки як точка входу
• Зв’язки з Північної Кореї — ланцюг malware, що цілить Mac
  • Як працює інфекція Mac
  • Кампанії крадіжки криптовалюти стають все більш складними

Глибокі фейкові відеодзвінки як точка входу

Кучар попередив, що атаки часто починаються з повідомлень від довірених контактів у Telegram або інших платформах. Жертви отримують запрошення обговорити питання або швидко синхронізуються у відеодзвінку через Zoom або Microsoft Teams.

Після початку дзвінка зловмисники видають себе за довірену особу за допомогою AI-згенерованого глибокого фейку у відео. Вони стверджують, що виникла проблема з аудіо, і просять жертву встановити певний плагін або файл для вирішення проблеми. Цей файл надає зловмисникам повний доступ до системи.

За словами Кучара, цей метод призвів до крадіжки Bitcoin, захоплення акаунтів у Telegram та подальшого поширення шахрайства через захоплені особистості. Він закликав користувачів ставитися до всіх повідомлень у Telegram як до ненадійних і уникати неперевірених дзвінків у Zoom або Teams.

Детальніше: Хакери захоплюють WeChat співзасновника Binance Йі Хе, щоб просувати шахрайство з мем-коінами, викликаючи паніку на ринку

Зв’язки з Північної Кореї — ланцюг malware, що цілить Mac

Технічні деталі, оприлюднені Кучаром, збігаються з дослідженнями компанії з кібербезпеки Huntress, яка простежила подібні атаки до BlueNoroff — хакерської групи, пов’язаної з Lazarus Group із Північної Кореї.

Як працює інфекція Mac

Атака починається з підробленого домену Zoom із фальшивим посиланням на зустріч. Коли жертви починають дзвінок, їм радять завантажити файл під назвою Zoom support script. Насправді цей файл заражений AppleScript, що запускає багатоступеневу атаку.

Інструментарій malware складається з:

• Telegram 2, фальшивого оновлювача, що підтримує стійкість
• Root Troy V4, віддаленого бекдору
• InjectWithDyld, прихованого завантажувача зашифрованих payloads
• XScreen, інструмент спостереження, що реєструє натискання клавіш і активність на екрані
• CryptoBot, інфостілеер, що цілить понад 20 криптовалютних гаманців

Дослідники вказують, що malware використовує дійсні підписи розробників і встановлює Rosetta на пристроях з Apple Silicon, щоб уникнути ідентифікації. Це робить атаку менш помітною, особливо для користувачів Mac, які мають хибне відчуття безпеки, вважаючи, що їхні системи менш вразливі.

Кампанії крадіжки криптовалюти стають все більш складними

Дослідники Huntress зазначають, що Mac є чудовою ціллю, оскільки все більше криптогруп використовують Mac для підприємств. Глибокий фейк у відео значно підсилює довіру, поєднуючи реальні зображення із відомою платформою.

Базові навички безпеки, які рекомендував Кучар, допомогли зменшити його втрати. Він наголосив на використанні двофакторної автентифікації, менеджерів паролів і апаратних гаманців. Також він рекомендує більш безпечні засоби комунікації, такі як Signal або Jitsi, і кращі браузери для більш безпечних дзвінків, наприклад Google Meet через більшу ізоляцію у пісочниці.