Severna Koreja povezana hakerska grupa poznata kao BlueNoroff, koja djeluje kao podgrupa notorne Lazarus grupe, pokrenula je novu sofisticiranu kampanju napada čiji je cilj eksploatacija zaposlenih u kripto i fintech sektorima kroz lažne Zoom razgovore koristeći deepfake tehnologiju.
Cilj ove operacije bio je krađa kriptovaluta i povjerljivih informacija iz kompanija koje se bave digitalnim finansijama. Napadači su pokušali da prevare zaposlene predstavljajući se kao potencijalni investitori ili partneri, koristeći prethodno pripremljene deepfake videopozive koji simuliraju realne sagovornike iz poznatih kompanija.
Identifikovani modus operandi uključuje višefazni socijalni inženjering, gdje se žrtva najpre kontaktira putem e-maila, nakon čega slijede razgovori preko Zooma. Tokom video poziva, koristi se deepfake tehnologija za generisanje vizuelne replike lica poznatih izvršnih direktora i investitora, kako bi komunikacija djelovala vjerodostojno.
Kada bi žrtva stekla povjerenje, napadači bi slali maliciozne fajlove pod izgovorom da se radi o partnerskim ugovorima, investicionim prijedlozima ili drugim važnim dokumentima. Ovi fajlovi sadrže napredne malware pakete razvijene tako da izbjegnu bezbjednosne sisteme i dobiju pristup kripto novčanicima na zaraženim uređajima.
U napadu je identifikovana maliciozna alatka poznata kao “RustBucket”, koja koristi više slojeva dekodiranja kako bi ostala neotkrivena. Takođe je korišten i tzv. AppleJeus malware, ranije povezan sa Lazarus grupom, koji se maskira kao legitimni softver za upravljanje investicijama u kriptovalute.
Napad je jasno usmjeren na organizacije i korisnike koji rukuju značajnim količinama digitalne imovine, a posebno one koji su uključeni u razvoj ili upravljanje kripto novčanicima i blockchain infrastrukturama.
Istraživači ističu da je BlueNoroff poznat po tome što koristi taktičke i tehničke varijacije svojih metoda u kombinaciji sa strateškim odabirom meta, te se savjetuje izuzetna opreznost u digitalnoj komunikaciji, naročito kada se radi o potencijalnim partnerima ili investitorima koje se upoznaje online.
Preporučuje se dodatna provjera identiteta sagovornika, restrikcija preuzimanja sumnjivih fajlova i pojačana unutrašnja bezbjednosna politika u organizacijama koje posluju na kripto tržištima.