Крипто-надежды под прицелом: BlueNoroff внедряет ИИ в фишинговые атаки

Группа хакеров BlueNoroff, также известная как Sapphire Sleet и TA444, значительно усовершенствовала свои методы атак на компании криптоиндустрии. Согласно последним исследованиям, злоумышленники активно используют искусственный интеллект для создания убедительных фишинговых кампаний и разработки сложного вредоносного ПО.

Описание

Основной целью группировки остаются руководители технологических компаний и разработчики в сфере Web3. За последний год BlueNoroff развернула две масштабные кампании - GhostCall и GhostHire, которые используют разные подходы для проникновения в системы жертв.

Кампания GhostCall ориентирована на топ-менеджеров и инвесторов. Злоумышленники представляются венчурными капиталистами и приглашают жертв на фиктивные видеовстречи через поддельные сайты, имитирующие Zoom и Microsoft Teams. Особенностью атаки стало использование реальных записей предыдущих жертв вместо технологий deepfake. После подключения к "совещанию" пользователю предлагается обновить клиент видеоконференции, что приводит к загрузке вредоносных скриптов.

Исследователи обнаружили семь различных цепочек заражения, включая модульные стилеры (программы-похитители данных) и кейлоггеры. Вредоносное ПО собирает comprehensive информацию о криптокошельках, учетных данных браузеров, данных облачных платформ и инфраструктурных настройках.

Параллельно проводится кампания GhostHire, нацеленная на разработчиков. Атакующие представляются рекрутерами и предлагают пройти техническое собеседование, в ходе которого жертва запускает зловредный код из GitHub-репозитория. Для усиления давления устанавливаются строгие временные лимиты на выполнение "тестового задания".

Исследование показало активное использование BlueNoroff генеративного ИИ в различных аспектах атак. Злоумышленники применяют GPT-4o для улучшения профильных изображений, используемых в фишинговых кампаниях. Анализ кода некоторых компонентов вредоносного ПО указывает на возможное использование ИИ для автоматизации разработки скриптов.

Технический анализ выявил сложную модульную архитектуру вредоносного ПО, написанного на различных языках программирования, включая Nim, Go, Rust и Swift. Злоумышленники постоянно обновляют свои инструменты, усложняя их обнаружение системами безопасности.

Особую озабоченность вызывает масштаб сбора данных. Похищаемая информация включает не только криптовалютные активы, но и полную цифровую инфраструктуру жертв: учетные данные систем контроля версий, настройки облачных сервисов, ключи API и данные мессенджеров.

Жертвами кампаний стали компании и частные лица в различных странах, включая Японию, Сингапур, Гонконг и Австралию. Преимущественно атакам подвергаются организации, связанные с блокчейн-индустрией.

Эксперты отмечают, что использование ИИ позволяет злоумышленникам не только ускорить разработку вредоносного ПО, но и создавать более персонализированные и убедительные фишинговые атаки. Это значительно повышает успешность кампаний и усложняет их обнаружение.

Рекомендуется усилить проверку неожиданных предложений о сотрудничестве и инвестициях, особенно поступающих через мессенджеры. Для разработчиков критически важно тщательно проверять репозитории перед запуском кода, полученного в ходе "собеседований". Организациям следует внедрять многофакторную аутентификацию и регулярно обновлять системы защиты.