Womenis.ru Для современной Женщины с большой буквы
Специалисты по кибербезопасности из компании Arctic Wolf выявили сложную мошенническую кампанию, нацеленную на руководителей Web3-проектов и криптовалютных платформ. По данным экспертов, за операцией стоит группировка BlueNoroff — финансово мотивированное подразделение северокорейского объединения Lazarus. Основная цель злоумышленников заключается в получении постоянного доступа к устройствам жертв для хищения цифровых активов и конфиденциальных данных.
Использование нейросетей и глубокая подготовка
Для реализации схемы хакеры используют тщательно проработанные легенды. Процесс подготовки включает создание реалистичных профилей реально существующих экспертов из мира блокчейна. С помощью нейросетей генерируются качественные портреты, а через редакторы видео создаются полуанимированные ролики для имитации живого участия в звонке.
Злоумышленники приглашают потенциальную жертву на встречу через сервис Calendly, зачастую назначая дату на несколько месяцев вперед. Такая тактика призвана усыпить бдительность, создавая впечатление плотного графика у «востребованного специалиста». В назначенный день пользователю присылают ссылку на страницу, которая визуально полностью копирует интерфейс сервиса Zoom.
Метод ClicFix и скрытая подмена данных
В ходе фальшивого видеозвонка, где на экране транслируется заранее подготовленная анимация, через несколько секунд появляется системное уведомление. Оно сообщает об устаревшей версии SDK (набора инструментов для разработки ПО) и предлагает нажать кнопку обновления. При нажатии активируется техника, известная как ClicFix. В обзоре отмечается, что хакеры применили продвинутый механизм обмана:
- Пользователю предлагают скопировать и вставить в терминал якобы безопасную команду для исправления ошибки.
- Вредоносное приложение на сайте перехватывает действие пользователя и мгновенно заменяет содержимое буфера обмена на вредоносный код.
- Ничего не подозревающая жертва вставляет уже модифицированную команду, которая загружает вирус на компьютер.
Пять минут на полный захват системы
В отчете Arctic Wolf подчеркивается исключительная скорость и дисциплинированность исполнителей. Весь цикл атаки — от первого клика по ссылке до полной компрометации системы — занимает менее пяти минут. За это время злоумышленники успевают установить связь с командным сервером, украсть сессии в Telegram, выгрузить пароли из браузеров и обеспечить себе постоянное присутствие в ОС.
После заражения одного устройства хакеры получают возможность осуществлять горизонтальное перемещение по сети компании. Это позволяет им добираться до учетных данных других сотрудников, сессионных токенов и защищенной бизнес-информации, что в конечном итоге открывает путь к краже криптовалютных запасов организации.