Северокорейские государственные хакеры используют дипфейки в видеозвонках Zoom для взлома криптовалютных компаний

Северокорейские государственные хакеры атакуют криптовалютные компании, используя несколько уникальных вредоносных программ, применяемых в рамках многочисленных мошеннических схем, включая поддельные встречи в Zoom. 

Было замечено, что связанный с Северной Кореей киберпреступник, известный как UNC1069, нацелен на криптовалютный сектор с целью кражи конфиденциальных данных из систем Windows и macOS, конечная цель которой — совершение финансовых махинаций.

Активность UNC1069 оценивается как начавшаяся в апреле 2018 года. Она имеет историю проведения кампаний по социальной инженерии с целью получения финансовой выгоды, используя поддельные приглашения на встречи и выдавая себя за инвесторов из авторитетных компаний. 

Фальшивый звонок в Zoom стал причиной атаки вредоносного ПО на криптокомпанию

В своем последнем отчете исследователи Google Mandiant подробно описали расследование взлома, направленного на финтех-компанию в криптоиндустрии. По словам следователей, взлом начался с взломанного аккаунта Telegram, принадлежащего руководителю криптоиндустрии. 

Злоумышленники использовали взломанный профиль, чтобы связаться с жертвой. Они постепенно завоевывали доверие, прежде чем отправить приглашение на видеоконференцию через Calendly. Ссылка на конференцию перенаправляла жертву на поддельный домен Zoom, размещенный на инфраструктуре, контролируемой злоумышленниками.

Во время звонка потерпевший сообщил, что видел видео, которое, по всей видимости, было создано с помощью технологии дипфейк и содержало изображение генерального директора другой криптовалютной компании.

«Хотя компании Mandiant не удалось получить криминалистические доказательства для независимойdentdentdentdentdentdentdentdentdent схожими характеристиками, где также предположительно использовались дипфейки», — говорится.

Злоумышленники создали впечатление проблем со звуком на совещании, чтобы оправдать следующий шаг. Они дали жертве указание запустить команды устранения неполадок на своем устройстве. Эти команды, разработанные как для macOS, так и для Windows, тайно запустили цепочку заражения. В результате было активировано несколько компонентов вредоносного ПО.

Компания Mandiantdentсемь различных типов вредоносных программ, использованных во время атаки. Эти инструменты были разработаны для доступа к связке ключей и кражи паролей, получения файлов cookie браузера и информации для входа в систему, доступа к информации о сессиях Telegram и получения других личных файлов.

Следователи пришли к выводу, что цель была двоякой: обеспечить возможность кражи криптографических данных и собрать информацию, которая могла бы послужить основой для будущих атак с использованием методов социальной инженерии. Расследование выявило необычно большой объем инструментов, размещенных на одном хосте. 

Связанные с ИИ кластеры мошеннических схем демонстрируют более высокую операционную эффективность

Этотdent является частью более широкой схемы. Связанные с Северной Кореей лица присвоили более 300 миллионов долларов, выдавая себя за доверенных лиц в отрасли во время мошеннических встреч в Zoom и Microsoft Teams.

Масштабы активности в течение года были еще более поразительными. Как сообщает Cryptopolitan Cryptopolitan, северокорейские хакерские группировки были ответственны за кражу цифровых активов на сумму 2,02 миллиарда долларов в 2025 году, что на 51% больше, чем в предыдущем году

Компания Chainalysis также выявила , что мошеннические схемы, связанные с поставщиками услуг в области искусственного интеллекта, демонстрируют более высокую операционную эффективность, чем схемы без таких связей. По мнению компании, эта тенденция указывает на будущее, в котором ИИ станет стандартным компонентом большинства мошеннических операций.

В отчете, опубликованном в ноябре прошлого года, группа Google Threat Intelligence Group (GTIG) отметила использование злоумышленниками инструментов генеративного искусственного интеллекта (ИИ), таких как Gemini. Они используют их для создания приманок и других сообщений, связанных с криптовалютой, в рамках своих усилий по поддержке кампаний социальной инженерии.

По меньшей мере с 2023 года группа переключилась с методов целевого фишинга и таргетирования традиционных финансовых рынков (TradFi) на индустрию Web3, такую ​​как централизованные биржи (CEX), разработчики программного обеспечения в финансовых учреждениях, высокотехнологичные компании и частные лица в фондах венчурного капитала.

Google.

Также было замечено, что группа пыталась использовать Gemini для разработки кода, предназначенного для кражи криптоактивов. Кроме того, в своих кампаниях они используют изображения и видео, созданные с помощью технологии Deepfake и имитирующие действия людей из криптоиндустрии, чтобы распространять среди жертв бэкдор под названием BIGMACHO, выдавая его за комплект разработки программного обеспечения (SDK) Zoom.