การหลอกลวง Deepfake บน Zoom ส่งผลกระทบต่อผู้เชี่ยวชาญด้านคริปโต ขณะที่ผู้ร่วมก่อตั้ง BTC Prague เตือนเกี่ยวกับมัลแวร์บน Mac

บทเรียนสำคัญ:

• ผู้เชี่ยวชาญด้านคริปโตถูกโจมตีด้วยวิดีโอคอลล์ Deepfake ที่ส่งมัลแวร์ macOS
• ผู้ร่วมก่อตั้ง BTC Prague Martin Kuchař กล่าวว่า บัญชี Telegram ที่ถูกขโมยไปถูกใช้ในการแพร่กระจายการโจมตี
• แคมเปญนี้ตรงกับกลยุทธ์ที่เชื่อมโยงกับแฮกเกอร์ BlueNoroff ซึ่งเกี่ยวข้องกับเกาหลีเหนือ

คลื่นการหลอกลวงคริปโตที่มีระดับเป้าหมายสูงนี้กำลังใช้วิดีโอ Deepfake ติดต่อสัมพันธ์ และเครื่องมือทำงานยอดนิยม แห่ง BTC Prague Martin Kuchař เปิดเผยว่าผู้โจมตีควบคุมบัญชี Telegram ของเขาเพื่อชักชวนผู้อื่นเข้าร่วมวิดีโอคอลล์ Zoom และ Teams พร้อมมัลแวร์

อ่านเพิ่มเติม: $50M หายไปในเสี้ยววินาที: ข้อผิดพลาดคัดลอกวางกระเป๋าเงินกระตุ้นหนึ่งในกลโกงที่มีค่าที่สุดในคริปโต

สารบัญ

• วิดีโอ Deepfake ใช้เป็นจุดเข้าโจมตี
• เกาหลีเหนือ–เชื่อมโยงกับสายมัลแวร์เป้าหมาย Mac
  • วิธีการทำงานของการติดเชื้อบน Mac
  • แคมเปญขโมยคริปโตมีความซับซ้อนมากขึ้น

วิดีโอ Deepfake ใช้เป็นจุดเข้าโจมตี

Kuchař เตือนว่าการโจมตีมักเริ่มจากข้อความจากผู้ติดต่อที่เชื่อถือได้บน Telegram หรือแพลตฟอร์มอื่น ผู้เสียหายจะได้รับคำเชิญให้พูดคุยเรื่องนี้ หรือเข้าร่วมการประชุมแบบรวดเร็วใน Zoom หรือ Microsoft Teams

หลังจากรับสาย ผู้โจมตีจะแสร้งเป็นบุคคลที่เชื่อถือได้ผ่านวิดีโอ Deepfake ที่สร้างด้วย AI พวกเขาแจ้งว่ามีปัญหาเสียงและขอให้เหยื่อดาวน์โหลดปลั๊กอินหรือไฟล์ที่กำหนดเพื่อแก้ไขปัญหา ไฟล์นั้นให้ผู้โจมตีเข้าถึงระบบได้เต็มที่

ตามคำกล่าวของ Kuchař วิธีนี้นำไปสู่การขโมย Bitcoin การควบคุมบัญชี Telegram และการแพร่กระจายของกลโกงผ่านตัวตนที่ถูกยึดครอง เขาเตือนให้ผู้ใช้ระมัดระวังข้อความใน Telegram และหลีกเลี่ยงการเข้าร่วมการประชุม Zoom หรือ Teams ที่ไม่ได้รับการยืนยัน

อ่านเพิ่มเติม: แฮกเกอร์ยึด WeChat ของ Yi He ซีอีโอร่วม Binance เพื่อหลอกลวงเหรียญมีม กระตุ้นความวุ่นวายในตลาด

เกาหลีเหนือ–เชื่อมโยงกับสายมัลแวร์เป้าหมาย Mac

รายละเอียดทางเทคนิคที่ Kuchař เปิดเผยสอดคล้องกับงานวิจัยจากบริษัทด้านความปลอดภัยไซเบอร์ Huntress ซึ่งสืบสวนพบว่าการโจมตีคล้ายกันนี้เชื่อมโยงกับ BlueNoroff ซึ่งเป็นกลุ่มแฮกเกอร์ที่เกี่ยวข้องกับกลุ่ม Lazarus ของเกาหลีเหนือ

วิธีการทำงานของการติดเชื้อบน Mac

การโจมตีเริ่มจากโดเมน Zoom ปลอมพร้อมลิงก์การประชุมปลอม เมื่อเหยื่อเข้าร่วมสาย พวกเขาจะได้รับคำแนะนำให้ดาวน์โหลดไฟล์ชื่อ Zoom support script จริงๆ แล้วไฟล์นี้ติดเชื้อด้วย AppleScript ซึ่งเริ่มการโจมตีหลายขั้นตอน

ชุดเครื่องมือมัลแวร์ประกอบด้วย:

• Telegram 2 ตัวอัปเดตปลอมที่รักษาการอยู่เสมอ
• Root Troy V4 backdoor สำหรับการเข้าถึงระยะไกล
• InjectWithDyld ตัวโหลดซ่อนเร้นสำหรับ payload ที่เข้ารหัส
• XScreen เครื่องมือสอดแนมที่บันทึกการกดแป้นและกิจกรรมบนหน้าจอ
• CryptoBot ตัวเก็บข้อมูลที่มุ่งเป้าไปที่กระเป๋าเงินคริปโตมากกว่า 20 รายการ

นักวิจัยชี้ว่ามัลแวร์นี้จะใช้ลายเซ็นต์นักพัฒนาที่ถูกต้องและวาง Rosetta บนอุปกรณ์ Apple Silicon เพื่อหลบเลี่ยงการตรวจจับ ซึ่งทำให้การโจมตีนี้ตรวจจับได้ยากขึ้น โดยเฉพาะกับผู้ใช้ Mac ที่มีความเข้าใจผิดว่าระบบของตนปลอดภัยน้อยลง

แคมเปญขโมยคริปโตมีความซับซ้อนมากขึ้น

นักวิจัยจาก Huntress ชี้ว่า Mac เป็นเป้าหมายที่ดีเยี่ยม เพราะกลุ่มคริปโตจำนวนมากใช้ Mac ในองค์กร การใช้วิดีโอ Deepfake เข้ามามีบทบาทสำคัญในความน่าเชื่อถือ โดยผสมภาพแบบเรียลไทม์กับแพลตฟอร์มที่รู้จักกันดี

พฤติกรรมด้านความปลอดภัยพื้นฐานที่ Kuchař เปิดเผยช่วยลดความเสียหายของเขาได้ เขาเน้นการใช้การยืนยันตัวตนแบบสองชั้น การแก้ปัญหารหัสผ่าน และกระเป๋าเงินฮาร์ดแวร์ นอกจากนี้ยังแนะนำเครื่องมือสื่อสารที่ปลอดภัยมากขึ้น เช่น Signal หรือ Jitsi และเบราว์เซอร์ที่ปลอดภัยกว่า เช่น Google Meet เนื่องจากมีการแซนด์บ็อกกิ้งที่ดีกว่า