Deepfake-Zoom-Betrügereien treffen Krypto-Insider, während BTC Prague-Mitbegründer vor Mac-Malware warnt

Wichtigste Erkenntnisse:

• Krypto-Insider werden durch Deepfake-Videocalls angegriffen, die macOS-Malware liefern
• BTC Prague-Mitbegründer Martin Kuchař sagt, sein gestohlenes Telegram-Konto wurde genutzt, um den Angriff zu verbreiten
• Die Kampagne entspricht Taktiken, die mit den North Korea–verknüpften BlueNoroff-Hackern in Verbindung gebracht werden

Eine Welle von Krypto-Betrugsversuchen mit einem hochgradigen Ziel ist im Gange und nutzt Deepfake-Videos, Kontaktbeziehungen und beliebte Arbeitstools aus. BTC Prague-Mitbegründer Martin Kuchař gab bekannt, dass Angreifer sein Telegram-Konto kontrollierten, um andere in Zoom- und Teams-Videocalls mit Malware zu locken.

Weiterlesen: $50M verschwinden in Sekunden: Copy-Paste-Wallet-Fehler löst eine der teuersten Adressbetrugsmaschen im Krypto aus

Inhaltsverzeichnis

• Deepfake-Videocalls als Einstiegspunkt genutzt
• Nordkorea-verbundene Malware-Kette zielt auf Mac-Nutzer ab
  • Wie die Mac-Infektion funktioniert
  • Krypto-Diebstahl-Kampagnen werden immer ausgefeilter

Deepfake-Videocalls als Einstiegspunkt genutzt

Kuchař warnte, dass die Angriffe oft mit Nachrichten von vertrauenswürdigen Kontakten auf Telegram oder anderen Plattformen beginnen. Die Opfer erhalten eine Einladung, die Angelegenheit zu besprechen, oder auch eine kurze Abstimmung in einem Zoom- oder Microsoft-Teams-Call.

Nach dem Anruf impersonieren die Angreifer die vertrauenswürdige Person durch AI-generiertes Deepfake-Video. Sie geben an, dass es ein Audio-Problem gibt, und bitten das Opfer, ein bestimmtes Plug-in oder eine Datei zu installieren, um das Problem zu beheben. Diese Datei verschafft den Angreifern vollen Zugriff auf das System.

Laut Kuchař führte diese Methode zum Diebstahl von Bitcoin, zur Übernahme von Telegram-Konten und zur weiteren Verbreitung des Betrugs durch gekaperte Identitäten. Er forderte die Nutzer auf, alle Telegram-Nachrichten als unzuverlässig zu behandeln und unbestätigte Zoom- oder Teams-Calls zu vermeiden.

Weiterlesen: Hacker kapern Binance-Co-CEO Yi He’s WeChat, um Meme-Coin-Betrug zu pushen, was zu Marktaufregung führt

Nordkorea-verbundene Malware-Kette zielt auf Mac-Nutzer ab

Technische Details, die Kuchař teilte, stimmen mit Forschungen des Cybersicherheitsunternehmens Huntress überein, das ähnliche Angriffe auf BlueNoroff zurückverfolgte, eine Hackergruppe, die mit Nordkorea’s Lazarus Group in Verbindung steht.

Wie die Mac-Infektion funktioniert

Der Angriff beginnt mit einer gefälschten Zoom-Domain mit einem vorgetäuschten Meeting-Link. Wenn Opfer den Anruf tätigen, wird ihnen geraten, eine Datei namens Zoom Support Script herunterzuladen. Tatsächlich ist die Datei mit AppleScript infiziert, das einen mehrstufigen Angriff startet.

Das Malware-Toolkit besteht aus:

• Telegram 2, einem gefälschten Updater, der Persistenz aufrechterhält
• Root Troy V4, einem Remote-Access-Backdoor
• InjectWithDyld, einem Stealth-Loader für verschlüsselte Payloads
• XScreen, einem Überwachungstool, das Tastatureingaben und Bildschirmaktivitäten protokolliert
• CryptoBot, einem Infostealer, der mehr als 20 Krypto-Wallets angreift

Forscher weisen darauf hin, dass die Malware gültige Entwickler-Signaturen nutzt und Rosetta auf Apple Silicon-Geräten installiert, um Erkennung zu vermeiden. Dies macht den Angriff weniger sichtbar, insbesondere für Mac-Nutzer, die fälschlicherweise annehmen, ihre Systeme seien weniger anfällig.

Krypto-Diebstahl-Kampagnen werden immer ausgefeilter

Huntress-Forscher betonen, dass Mac ein ausgezeichnetes Ziel ist, weil immer mehr Krypto-Gruppen Macs im Unternehmen einsetzen. Deepfake-Videos erhöhen die Glaubwürdigkeit erheblich, indem sie Echtzeitbilder mit der bekannten Plattform kombinieren.

Grundlegende Sicherheitsgewohnheiten, die Kuchař halfen, seine Verluste zu begrenzen, umfassen die Verwendung von Zwei-Faktor-Authentifizierung, Passwortlösungen und Hardware-Wallets. Er empfahl auch sicherere Kommunikationsmittel wie Signal oder Jitsi sowie bessere Browser für sicherere Anrufe, etwa Google Meet, aufgrund des stärkeren Sandboxing.