与朝鲜有关的黑客继续利用实时视频通话，包括AI生成的深度伪造视频，来欺骗加密货币开发者和工作人员在自己的设备上安装恶意软件。

在BTC Prague联合创始人马丁·库哈尔（Martin Kuchař）披露的最新案例中，攻击者使用了一个被攻陷的Telegram账户和一个伪装的视频通话，推送伪装成Zoom音频修复的恶意软件。

这场“高级黑客攻击活动”似乎“针对比特币和加密货币用户”，库哈尔在周四的X平台上披露。

攻击者联系受害者并设置Zoom或Teams通话，库哈尔解释道。在通话中，他们使用AI生成的视频假装成受害者认识的人。

然后，他们声称存在音频问题，并要求受害者安装一个插件或文件来修复它。一旦安装，恶意软件便会授予攻击者完全的系统访问权限，使他们能够窃取比特币、接管Telegram账户，并利用这些账户针对其他人。

根据区块链分析公司Chainalysis的数据，随着AI驱动的冒充诈骗使与加密货币相关的损失在2025年达到创纪录的170亿美元，攻击者越来越多地使用深度伪造视频、声音克隆和虚假身份来欺骗受害者并获取资金。

类似攻击

库哈尔描述的攻击与网络安全公司Huntress首次记录的一种技术非常相似，该公司在去年7月报告称，这些攻击者在Telegram上初步接触后，诱骗目标加密货币工作人员进入一个伪装的Zoom通话，通常使用一个托管在伪造Zoom域名上的虚假会议链接。

在通话中，攻击者声称存在音频问题，并指示受害者安装看似与Zoom相关的修复程序，实际上这是一个恶意的AppleScript，启动多阶段的macOS感染，Huntress表示。

一旦执行，该脚本会禁用shell历史记录，检查或在Apple Silicon设备上安装Rosetta 2（一个翻译层），并反复提示用户输入系统密码以获得提升的权限。

研究发现，恶意软件链安装多个有效载荷，包括持久后门、键盘记录和剪贴板工具，以及加密钱包窃取器，库哈尔在周一披露他的Telegram账户被攻陷并随后以相同方式针对其他人时，指出了类似的序列。

社交模式

Huntress的安全研究人员高度自信地将此次入侵归因于一个与朝鲜有关的高级持续威胁，追踪代号为TA444，也称为BlueNoroff，以及在拉撒路集团（Lazarus Group）这一统称下运作的多个别名，自2017年以来专注于加密货币盗窃的国家支持团体。

当被问及这些活动的操作目标以及是否认为存在相关性时，区块链安全公司Slowmist的首席信息安全官Shān Zhang告诉Decrypt，库哈尔的最新攻击“可能”与拉撒路集团的更广泛活动有关。

“我们在活动之间明显看到重用。我们始终看到特定钱包的目标和非常相似的安装脚本的使用，”去中心化AI计算网络Gonka的共同创始人David Liberman告诉Decrypt。

Liberman表示，图像和视频“不能再被视为可靠的真实性证明”，并补充说，数字内容“应该由其创作者进行加密签名，这种签名应要求多因素授权。”

在这种情况下，叙事已成为“一个重要的信号，用于跟踪和检测”，因为这些攻击“依赖于熟悉的社交模式，”他说。

朝鲜的拉撒路集团与针对加密货币的公司、工作人员和开发者的活动有关，利用量身定制的恶意软件和复杂的社会工程技术来窃取数字资产和访问凭证。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。