Nordkorea-verbundene Hacker nutzen Deepfake-Videoanrufe, um Krypto-Mitarbeiter anzugreifen

Kurzfassung

• Angreifer haben einen gefälschten Videoanruf und einen Zoom „Audio-Fix“ verwendet, um macOS-Malware zu verbreiten.
• Die Methode entspricht einer zuvor dokumentierten Einbruchsmethode, die mit Nordkoreas BlueNoroff, einer Lazarus-Subgruppe, in Verbindung gebracht wird.
• Der Vorfall tritt auf, während KI-gesteuerte Betrugsmaschen im Zusammenhang mit Impersonation die Krypto-Verluste im Jahr 2025 auf Rekordwerte von 17 Milliarden US-Dollar getrieben haben.

Nordkoreanisch verbundene Hacker setzen weiterhin Live-Videoanrufe ein, einschließlich KI-generierter Deepfakes, um Krypto-Entwickler und -Arbeiter zu täuschen und sie dazu zu bringen, schädliche Software auf ihren eigenen Geräten zu installieren. Im neuesten Fall, der von BTC Prague-Mitbegründer Martin Kuchař offengelegt wurde, nutzten Angreifer ein kompromittiertes Telegram-Konto und einen inszenierten Videoanruf, um Malware zu verbreiten, die als Zoom-Audio-Fix getarnt ist, sagte er. Die „hochrangige Hacking-Kampagne“ scheint „auf Bitcoin- und Krypto-Nutzer abzuzielen“, enthüllte Kuchař am Donnerstag auf X. 

Angreifer kontaktieren das Opfer und vereinbaren einen Zoom- oder Teams-Anruf, erklärte Kuchař. Während des Anrufs verwenden sie ein KI-generiertes Video, um als jemand aufzutreten, den das Opfer kennt. Anschließend behaupten sie, es gebe ein Audio-Problem und bitten das Opfer, ein Plugin oder eine Datei zu installieren, um es zu beheben. Nach der Installation gewährt die Malware den Angreifern vollen Systemzugriff, sodass sie Bitcoin stehlen, Telegram-Konten übernehmen und diese Konten nutzen können, um andere anzugreifen. Dies geschieht, während KI-gesteuerte Impersonation-Betrugsmaschen die Krypto-bezogenen Verluste im Jahr 2025 auf einen Rekord von 17 Milliarden US-Dollar getrieben haben, wobei Angreifer zunehmend Deepfake-Videos, Voice-Cloning und gefälschte Identitäten verwenden, um Opfer zu täuschen und Zugang zu Mitteln zu erlangen, so Daten des Blockchain-Analysetools Chainalysis. Ähnliche Angriffe Der Angriff, wie von Kuchař beschrieben, entspricht genau einer Technik, die erstmals vom Cybersicherheitsunternehmen Huntress dokumentiert wurde. Dieses berichtete im Juli letzten Jahres, dass diese Angreifer ein Ziel im Krypto-Bereich nach einem ersten Kontakt auf Telegram in einen inszenierten Zoom-Anruf locken, oft unter Verwendung eines gefälschten Meeting-Links, der auf einer gefälschten Zoom-Domain gehostet wird.

Während des Anrufs behaupten die Angreifer, es gebe ein Audio-Problem, und instruieren das Opfer, eine angeblich Zoom-bezogene Lösung zu installieren, die tatsächlich ein bösartiges AppleScript ist, das eine mehrstufige macOS-Infektion einleitet, so Huntress. Nach der Ausführung deaktiviert das Script die Shell-Historie, prüft oder installiert Rosetta 2 (eine Übersetzungsschicht) auf Apple Silicon-Geräten und fordert den Benutzer wiederholt zur Eingabe seines Systempassworts auf, um erhöhte Privilegien zu erlangen. Die Studie fand heraus, dass die Malware-Kette mehrere Payloads installiert, darunter persistente Hintertüren, Keylogger- und Zwischenablage-Tools sowie Krypto-Wallet-Diebstahlssoftware – eine ähnliche Sequenz, auf die Kuchař am Montag hinwies, als er bekannt gab, dass sein Telegram-Konto kompromittiert wurde und später genutzt wurde, um andere auf gleiche Weise anzugreifen. Soziale Muster Sicherheitsforscher von Huntress haben den Angriff mit hoher Zuverlässigkeit einer nordkoreanisch verbundenen Advanced Persistent Threat (APT) zugeordnet, die als TA444 bekannt ist, auch unter den Namen BlueNoroff und mehreren anderen Aliasen, die unter dem Sammelbegriff Lazarus Group operieren, einer staatlich geförderten Gruppe, die seit mindestens 2017 auf Kryptowährungsdiebstahl spezialisiert ist. Auf die Frage nach den operativen Zielen dieser Kampagnen und ob sie eine Korrelation sehen, sagte Shān Zhang, Chief Information Security Officer bei der Blockchain-Sicherheitsfirma Slowmist, Decrypt, dass der jüngste Angriff auf Kuchař „möglicherweise“ mit breiteren Kampagnen der Lazarus Group verbunden ist. „Es gibt klare Wiederholungen in den Kampagnen. Wir sehen konsequent Zielgerichtetheit auf bestimmte Wallets und die Verwendung sehr ähnlicher Installationsskripte“, sagte David Liberman, Mitbegründer des dezentralen KI-Compute-Netzwerks Gonka, Decrypt. Bilder und Videos „können nicht mehr als zuverlässiger Beweis für Authentizität betrachtet werden“, sagte Liberman, und fügte hinzu, dass digitale Inhalte „kryptografisch vom Ersteller signiert werden sollten, und solche Signaturen sollten eine Multi-Faktor-Authentifizierung erfordern.“ Erzählungen, in solchen Kontexten, seien „ein wichtiger Indikator zur Verfolgung und Erkennung“, da diese Angriffe „auf vertrauten sozialen Mustern basieren“, so Liberman.

Lazarus Group aus Nordkorea ist mit Kampagnen gegen Krypto-Firmen, -Arbeiter und -Entwickler verbunden, bei denen maßgeschneiderte Malware und ausgeklügelte Social-Engineering-Techniken eingesetzt werden, um digitale Vermögenswerte und Zugangsdaten zu stehlen.