最近,朝鲜利用植入人工智能的虚假Zoom通话,诱骗加密货币行业人士上钩,并在几分钟内清空他们的钱包。一场简单的视频会议,究竟如何就能完全控制你的设备,并绕过最警惕用户的防线?
一项旨在充实公共账户的大规模计划
自2020年初以来,朝鲜利用其“假远程办公人员”大军,开展了一项全球性的企业渗透行动,作为政府创收计划的一部分。据悉,这支“远程办公大军”中的一部分人员近期已被重新部署,参与一项全新的社会工程学行动,此次的目标直指加密货币行业。
警告(再次)
朝鲜威胁行为者仍在通过虚假的Zoom/Teams会议对你们中的许多人进行攻击。
他们正在接管你们的Telegram账号——并利用这些账号攻击你们的所有朋友。
他们通过这种手段已经盗取了超过3亿美元。
请阅读此文。阻止这一恶性循环。 pic.twitter.com/tJTo9lkq0v
— Tay (@tayvano_) 2025年12月13日
MetaMask安全研究员Taylor Monahan(网名Tayvano)透露,近期已有近3亿美元被盗。
该作案手法已广为人知且有据可查,因为自2024年以来,微软威胁情报部门一直在监测此类活动。攻击者首先会根据目标对象,窃取一个完整且合法的个人资料。随后,他们会围绕这个被盗的个人资料构建一个完整的数字生态系统(包括即时通讯、社交媒体、GitHub或LinkedIn个人资料),以此建立合法的数字足迹。
随后,他们将利用人工智能(AI)技术,将源个人资料的图像叠加到符合其目的的图片和视频上。此外,他们还会使用VPN、VPS、代理服务及RMM工具来掩盖其地理位置和真实的数字身份。
Dfns创始人克拉丽丝·阿热热(Clarisse Hagège)近期也向我们透露了这一情况,她表示自己曾遭到3名朝鲜黑客的入侵企图。
她还强调,加密货币行业是朝鲜战略中的重点目标。请收听我们的播客,查看完整访谈:
应聘者必须提供至少3份过往工作的推荐人信息。虽然很多人会忘记这一点,但这确实非常有效。
利用Teams或Zoom等平台进行的社会工程学攻击
这一策略如今被重新利用,并瞄准了新的目标。正如泰勒·莫纳汉所描述的,攻击源于对一个合法Telegram账户的劫持。这些目标账户通常是风险投资家或演讲者,这类身份能够利用我们的权威偏见。
在仔细分析首名受害者的聊天记录以完善其身份伪装后,攻击者会利用已建立的联系。他们会通过伪装的Calendly链接,诱导受害者参加Zoom或Teams会议。
热点新闻 – 据称朝鲜是Upbit 3000万美元黑客攻击事件的幕后黑手
在视频中,受害者与权威人士的播客录音或公开露面片段进行互动;得益于对AI的巧妙利用,视频流看起来非常真实。
随后,攻击者会模拟音频或视频故障,要求受害者下载一个据称能恢复连接的 SDK。该 SDK 实则部署了一个恶意脚本,在目标设备上安装了恶意软件。这种木马程序能完全控制受害者的计算机,从而获得对目标钱包的完全访问权限。
加强运营安全并保持警惕
为了防范此类威胁,在您的通信应用中启用强认证(强密码)和多因素认证(MFA及2FA应用)至关重要。
此外,必须提醒的是:在与对话对象交流时,您必须确认发信人的身份(真实性),确保收到的内容未被篡改(完整性),并保证他人无法获知您的通信内容(保密性)。
此外,若无法确定数据包的完整性和合法性,切勿下载。若存在疑虑,可将其在专用虚拟机中打开以验证内容。
最后,若您的Telegram账户遭到入侵,请立即删除您的账户并通知您的联系人,以提醒他们并切断诈骗链条。
请保持警惕,并牢记人类的认知机制会使您容易受到认知偏见(权威偏见、熟悉偏见、紧迫偏见等)的影响。一旦这些偏见被利用,您很可能就会成为受害者。
