هاكرز مرتبطون بكوريا الشمالية يستخدمون مكالمات فيديو مزيفة عميقة لاستهداف موظفي العملات الرقمية

باختصار

• استخدم المهاجمون مكالمة فيديو مزيفة و"تصحيح صوتي" لZoom لنشر برمجيات خبيثة على macOS.
• تتطابق الطريقة مع أسلوب اقتحام موثق سابقًا مرتبط بكوريا الشمالية، مجموعة BlueNoroff، فرع من Lazarus.
• تأتي الحادثة في وقت أدت فيه عمليات الاحتيال باستخدام التزييف العميق المدعوم بالذكاء الاصطناعي إلى خسائر قياسية في العملات المشفرة بلغت 17 مليار دولار في عام 2025.

يواصل قراصنة مرتبطون بكوريا الشمالية استخدام مكالمات الفيديو المباشرة، بما في ذلك التزييف العميق الناتج عن الذكاء الاصطناعي، لخداع مطوري وعمال العملات المشفرة لتثبيت برامج ضارة على أجهزتهم الخاصة. وفي أحدث حالة كشف عنها مؤسس BTC Prague، مارتن كوتشار، قال إن المهاجمين استخدموا حساب تلغرام مخترق ومكالمة فيديو مرتبة لدفع برمجية خبيثة مخفية على أنها تصحيح صوتي لZoom، على حد قوله. ويبدو أن “حملة الاختراق عالية المستوى” تستهدف “مستخدمي البيتكوين والعملات المشفرة”، حسبما كشف كوتشار يوم الخميس على منصة X. 

يوضح كوتشار أن المهاجمين يتواصلون مع الضحية ويعدون مكالمة على Zoom أو Teams. خلال المكالمة، يستخدمون فيديو مولد بالذكاء الاصطناعي ليظهروا كشخص يعرفه الضحية. ثم يدعون وجود مشكلة في الصوت ويطلبون من الضحية تثبيت مكون إضافي أو ملف لإصلاحها. بمجرد التثبيت، يمنح البرنامج الخبيث المهاجمين وصولاً كاملاً إلى النظام، مما يسمح لهم بسرقة البيتكوين، والسيطرة على حسابات تلغرام، واستخدام تلك الحسابات لاستهداف آخرين. ويأتي ذلك في وقت أدت فيه عمليات الاحتيال باستخدام التزييف العميق المدعوم بالذكاء الاصطناعي إلى دفع خسائر مرتبطة بالعملات المشفرة إلى رقم قياسي قدره 17 مليار دولار في عام 2025، مع تزايد استخدام المهاجمين للفيديوهات المزيفة، واستنساخ الصوت، والهويات المزيفة لخداع الضحايا والوصول إلى الأموال، وفقًا لبيانات من شركة تحليلات blockchain، Chainalysis. هجمات مماثلة تطابق الهجمة، كما وصفها كوتشار، بشكل وثيق تقنية وثقتها شركة الأمن السيبراني Huntress، التي أبلغت في يوليو من العام الماضي أن هؤلاء المهاجمين يجذبون عامل عملة مشفرة مستهدفًا إلى مكالمة Zoom مرتبة بعد الاتصال الأول على تلغرام، غالبًا باستخدام رابط اجتماع مزيف مستضاف على نطاق Zoom مزور.

خلال المكالمة، يدعي المهاجمون وجود مشكلة في الصوت ويطلبون من الضحية تثبيت ما يبدو أنه تصحيح متعلق بـ Zoom، والذي هو في الواقع نص برمجي خبيث من نوع AppleScript يطلق عدوى متعددة المراحل على macOS، وفقًا لـ Huntress. وبمجرد تنفيذه، يعطل النص سجل الأوامر، ويفحص أو يثبت Rosetta 2 (طبقة الترجمة) على أجهزة Apple Silicon، ويطلب بشكل متكرر من المستخدم إدخال كلمة مرور النظام للحصول على صلاحيات عالية. وجدت الدراسة أن سلسلة البرمجيات الخبيثة تثبت العديد من الحمولة، بما في ذلك الأبواب الخلفية المستمرة، وأدوات تسجيل المفاتيح واللوحات، وسرقة محافظ العملات المشفرة، وهو تسلسل مماثل أشار إليه كوتشار عندما كشف يوم الاثنين أن حساب تلغرام الخاص به تم اختراقه واستخدم لاحقًا لاستهداف الآخرين بنفس الطريقة. أنماط اجتماعية نسب باحثو الأمن في Huntress الاختراق بثقة عالية إلى تهديد مستمر متقدم مرتبط بكوريا الشمالية يُعرف بـ TA444، المعروف أيضًا باسم BlueNoroff وعدة أسماء مستعارة أخرى تعمل تحت اسم مجموعة Lazarus، وهي مجموعة مدعومة من الدولة تركز على سرقة العملات المشفرة منذ عام 2017 على الأقل. عند سؤاله عن الأهداف التشغيلية لهذه الحملات وما إذا كان يعتقد أن هناك ارتباطًا، قال شان زانغ، كبير مسؤولي أمن المعلومات في شركة Slowmist للأمن على blockchain، لـ Decrypt إن الهجمة الأخيرة على كوتشار “ربما” مرتبطة بحملات أوسع من مجموعة Lazarus. “هناك إعادة استخدام واضحة عبر الحملات. نرى باستمرار استهداف محافظ معينة واستخدام نصوص تثبيت متشابهة جدًا”، قال ديفيد ليبرمان، المشارك في إنشاء شبكة الحوسبة الذكية اللامركزية Gonka، لـ Decrypt. قال ليبرمان إن الصور والفيديوهات “لم تعد يمكن الاعتماد عليها كدليل موثوق على الأصالة”، مضيفًا أن المحتوى الرقمي “يجب أن يُوقع بشكل تشفير من قبل منشئه، ويجب أن تتطلب هذه التوقيعات مصادقة متعددة العوامل.” قال إن السرديات، في سياقات كهذه، أصبحت “إشارة مهمة للمراقبة والكشف” نظرًا لأن هذه الهجمات “تعتمد على أنماط اجتماعية مألوفة”، على حد قوله.

مجموعة Lazarus الكورية الشمالية مرتبطة بحملات ضد شركات، وموظفين، ومطوري العملات المشفرة، وتستخدم برمجيات خبيثة مخصصة وهندسة اجتماعية متطورة لسرقة الأصول الرقمية والوصول إلى بيانات الاعتماد.