Deepfake AI стає новою зброєю для атак на криптовалютні компанії Північної Кореї: Google попереджає

Група безпеки Mandiant компанії Google попереджає, що хакери з Північної Кореї інтегрують технології deepfake, створені штучним інтелектом, у фальшиві відеоконференції, як частину все більш витончених кампаній атак на криптовалютні компанії, згідно з доповіддю, опублікованою у понеділок.

Mandiant повідомляє, що нещодавно вони розслідували злом у фінтех-компанії, яке було приписане групі UNC1069 (також відомій як «CryptoCore») — загрозливому суб’єкту з високим ступенем зв’язків із Північною Кореєю. Атака використовувала зламаний акаунт у Telegram, підроблену зустріч у Zoom та техніку ClickFix для обману жертви з метою виконання шкідливих команд. Також слідчі виявили докази використання відео, створеного штучним інтелектом, у фальшивій зустрічі для обману цілі.

Згідно з доповіддю, Mandiant зафіксувала, що UNC1069 застосовує ці техніки для цілеспрямованих атак як на організації, так і на окремих осіб у криптовалютній галузі, включаючи програмне забезпечення, розробників, а також венчурні фонди і їхній персонал і керівництво.

Кампанія крадіжки криптовалюти з Північної Кореї посилюється

Попередження зроблено на тлі зростання масштабів крадіжок криптовалюти, пов’язаних із Північною Кореєю. У середині грудня компанія-аналітик блокчейну Chainalysis повідомила, що хакери з Північної Кореї викрали 2,02 мільярда доларів у криптовалюті у 2025 році, що на 51% більше ніж у попередньому році. Загальна оцінка активів, викрадених групами, пов’язаними із Пхеньяном, становить приблизно 6,75 мільярда доларів, хоча кількість атак зменшилася.

Ці відкриття свідчать про зміну у тактиці діяльності державних кіберзлочинних груп. Замість широкомасштабних фішингових кампаній, CryptoCore і подібні групи зосереджуються на високоспеціалізованих атаках, що персоналізовані, використовуючи довіру у цифрових взаємодіях, таких як запрошення на зустріч або відеодзвінки. Це дозволяє хакерам красти більші суми, маючи менше інцидентів, але з чітко визначеними цілями.

За словами Mandiant, атака починається з того, що жертву контактує через Telegram особа, яка здається знайомим керівником у криптовалютній галузі, але насправді цей акаунт вже під контролем хакера. Після встановлення довіри зловмисник надсилає посилання на Calendly для організації 30-хвилинної зустрічі, яка перенаправляє жертву на підроблений дзвінок у Zoom, збережений у власній інфраструктурі групи. Під час дзвінка жертва повідомляє, що бачить відео deepfake відомого керівника криптовалютної компанії.

Коли зустріч починається, хакер посилається на проблеми з аудіо і дає інструкції запустити команди «усунення помилок» — варіацію техніки ClickFix, що активує шкідливий код. Після цього судмедексперти виявили сім різних шкідливих модулів у системі жертви, спрямованих на крадіжку облікових даних, даних браузера та токенів сесій для фінансових махінацій і підробки.

Deepfake і штучний інтелект підсилюють тактики шахрайства

Фрейзер Едвардс, співзасновник і CEO компанії cheqd, що займається децентралізованим розпізнаванням, вважає, що ця ситуація відображає тенденцію, коли хакери все більше цілеспрямовано атакують осіб, залежних від онлайн-зустрічей і віддаленої співпраці. За його словами, ефективність цієї методики полягає в тому, що майже немає явних ознак підозрілості: знайомий відправник, звична форма зустрічі, відсутність вкладень або очевидних вразливостей. Довіра використовується ще до того, як технічні засоби захисту встигнуть втрутитися.

Едвардс зазначає, що відео deepfake зазвичай застосовують на етапі посилення атаки, наприклад, під час прямого дзвінка, коли зображення знайомої особи може зняти підозри, що виникають через незвичайні запити або технічні збої. Мета не полягає у затягуванні взаємодії, а у створенні достатньої реалістичності, щоб спонукати жертву зробити наступний крок.

Він також підкреслює, що штучний інтелект тепер використовується для підтримки підробки поза межами безпосередніх дзвінків, включаючи створення повідомлень, коригування тону голосу і імітацію звичного стилю спілкування з колегами або друзями. Це ускладнює виявлення звичайних повідомлень і зменшує ймовірність того, що отримувач зупиниться для перевірки.

За словами Едвардса, ризики зростатимуть, оскільки системи штучного інтелекту все глибше інтегруються у щоденну комунікацію і прийняття рішень. Вони можуть автоматично надсилати повідомлення, планувати дзвінки і діяти від імені користувача з швидкістю машини. У разі зловживання або проникнення, голосові та відео deepfake можуть запускатися автоматично, перетворюючи шахрайські дії з ручної роботи у масштабовані процеси.

Він вважає, що очікувати, що більшість користувачів зможуть самостійно розпізнати deepfake, нереально. Замість того, щоб покладатися на підвищену обережність користувачів, потрібно створювати системи захисту за замовчуванням, покращувати механізми автентифікації і відображати ознаки достовірності контенту, щоб користувачі швидко могли визначити, чи є інформація справжньою, створеною штучним інтелектом, або не підтвердженою, — замість того, щоб покладатися на інтуїцію або знайомство.