专门从事加密货币的朝鲜黑客正在改进一种众所周知的骗局。以前,他们依靠虚假的工作机会和投资建议来传播恶意软件,但现在他们的方法正变得越来越复杂。
虽然这些攻击以前依赖于受害者与受感染文件的直接交互,但现在黑客组织之间更紧密的协调使他们能够克服这一弱点,利用循环视频通话和假冒Web3高管来欺骗目标。
根据数字安全公司卡巴斯基最近的报告,朝鲜网络犯罪分子正在使用新的工具。BlueNoroff APT 是Lazarus集团(最可怕的朝鲜犯罪组织--DPRK)的一个分部,目前正在开展名为 GhostCall 和 GhostHire 的两个活动,它们共享相同的管理基础设施。
BlueNoroff 的 "GhostCall "和 "GhostHire "活动以加密货币和 Web3 行业为目标,利用虚假电话和工作机会窃取数百万美元,
BlueNoroff's "GhostCall" and "GhostHire" target crypto and Web3 with fake calls and job offers to steal millions. Stay safe—learn more on Securelist: https://t.co/cVzvOugqWJ #CyberSecurity #APT #BlueNoroff #SocialEngineering pic.twitter.com/YcbfF4Jj8f
— Kaspersky (@kaspersky) October 28, 2025
新型战术与强化社会工程学
在 GhostCall 活动中,这些朝鲜黑客以 Web3 高管为目标,将自己装扮成潜在的投资者。另一方面,GhostHire 则以诱人的工作机会引诱区块链工程师。
这两种策略至少从上个月就开始使用,但威胁正在增加。无论目标是什么,骗局都是一样的:目的都是诱骗受害者下载恶意软件,无论是虚假的 "编码挑战 "还是 Zoom 或 Microsoft Teams 的克隆。
一旦受害者与这个被入侵的平台进行交互,黑客就可以入侵其系统。
卡巴斯基已经注意到了一些边际上的改进,例如将重点放在加密开发人员青睐的操作系统上。不过,这些计划的共同弱点始终是需要受害者与可疑软件进行交互,这也损害了以往骗局的成功率。
卡巴斯基团队
为了克服这一关键问题,黑客找到了一种新的方法,即通过加强社交工程来回收错失的机会。除了人工智能(AI)生成的内容外,他们还可以使用真实企业家的黑客账户或真实视频通话的片段,使他们的骗局变得可信。
例如,一名加密货币高管与可疑的招聘人员断绝联系后,他的形象可能会被重新使用,并被用来对付新的受害者。通过使用人工智能,黑客可以合成新的 "对话",以惊人的逼真度模仿一个人的语气、手势和环境。即使这些骗局失败了,其潜在的危害仍然十分严重。
任何人在不寻常或高压的情况下被接触时都应保持警惕:切勿下载不熟悉的软件或接受看似不合适的请求。
