- 21,665
- 46
- 8 Ноя 2022
Станет ли ИИ главной угрозой для Web3?
Группа BlueNoroff, связанная с Lazarus, начала использовать генеративный искусственный интеллект в атаках на руководителей и разработчиков блокчейн-проектов. Об этом рассказали исследователи из Kaspersky GReAT на конференции Security Analyst Summit 2025 в Таиланде. С апреля 2025 года специалисты зафиксировали две активные кампании — GhostCall и GhostHire, направленные против криптовалютных и Web3-организаций в Индии, Турции, Австралии и ряде стран Европы и Азии. Атаки затрагивают устройства на macOS и Windows и управляются через общую инфраструктуру.
BlueNoroff продолжает развивать кампанию SnatchCrypto, нацеленную на компании, работающие с криптовалютами, DeFi-сервисами и смарт-контрактами. В GhostCall и GhostHire злоумышленники используют новые методы проникновения и вредоносное ПО, создаваемое с помощью ИИ.
Кампания GhostCall ориентирована на macOS-устройства и строится вокруг тщательно подготовленных сценариев социальной инженерии. Преступники связываются с жертвами через Telegram, выдавая себя за венчурных инвесторов. Иногда они действуют от имени взломанных аккаунтов реальных предпринимателей. Цель — пригласить потенциальную жертву на «встречу по инвестициям» на поддельных сайтах, имитирующих Zoom или Microsoft Teams. Во время разговора участнику предлагают обновить клиент для устранения «проблемы со звуком», после чего на устройство загружается вредоносный скрипт.
Во время таких инсценированных встреч злоумышленники включают записанные заранее видео, чтобы создать впечатление настоящего диалога. Эти материалы затем применяются в атаках на цепочку поставок, используя доверие между партнёрами и подрядчиками для расширения заражений.
Исследователи отмечают, что через GhostCall распространялись новые типы вредоносных программ, включая инструменты для кражи криптовалюты, данных Telegram и браузеров. Выявлено семь сложных цепочек заражения, четыре из которых ранее не встречались.
Вторая кампания — GhostHire — направлена на блокчейн-разработчиков. Здесь злоумышленники выдают себя за рекрутеров и предлагают пройти «тестовое задание». Жертве присылают ссылку на GitHub-репозиторий, внутри которого скрывается вредонос. После запуска заражается система. В GhostHire также используются Telegram-боты и поддельные вакансии. Чтобы ускорить установку, злоумышленники ограничивают время выполнения задания, подталкивая жертву к действиям без проверки.
Общие инструменты и инфраструктура связывают обе кампании. В отличие от прежних атак BlueNoroff, нынешние операции стали масштабнее и технологичнее: использование генеративного ИИ ускоряет разработку вредоносов и усложняет их анализ. Преступники добавили новые языки программирования и расширили функциональность, что повышает скрытность и эффективность атак.
Эксперты отмечают, что теперь злоумышленники не просто воруют криптоактивы и учётные данные, но и используют ИИ для анализа информации, точного выбора целей и масштабирования кампаний.
Группа BlueNoroff, связанная с Lazarus, начала использовать генеративный искусственный интеллект в атаках на руководителей и разработчиков блокчейн-проектов. Об этом рассказали исследователи из Kaspersky GReAT на конференции Security Analyst Summit 2025 в Таиланде. С апреля 2025 года специалисты зафиксировали две активные кампании — GhostCall и GhostHire, направленные против криптовалютных и Web3-организаций в Индии, Турции, Австралии и ряде стран Европы и Азии. Атаки затрагивают устройства на macOS и Windows и управляются через общую инфраструктуру.
BlueNoroff продолжает развивать кампанию SnatchCrypto, нацеленную на компании, работающие с криптовалютами, DeFi-сервисами и смарт-контрактами. В GhostCall и GhostHire злоумышленники используют новые методы проникновения и вредоносное ПО, создаваемое с помощью ИИ.
Кампания GhostCall ориентирована на macOS-устройства и строится вокруг тщательно подготовленных сценариев социальной инженерии. Преступники связываются с жертвами через Telegram, выдавая себя за венчурных инвесторов. Иногда они действуют от имени взломанных аккаунтов реальных предпринимателей. Цель — пригласить потенциальную жертву на «встречу по инвестициям» на поддельных сайтах, имитирующих Zoom или Microsoft Teams. Во время разговора участнику предлагают обновить клиент для устранения «проблемы со звуком», после чего на устройство загружается вредоносный скрипт.
Во время таких инсценированных встреч злоумышленники включают записанные заранее видео, чтобы создать впечатление настоящего диалога. Эти материалы затем применяются в атаках на цепочку поставок, используя доверие между партнёрами и подрядчиками для расширения заражений.
Исследователи отмечают, что через GhostCall распространялись новые типы вредоносных программ, включая инструменты для кражи криптовалюты, данных Telegram и браузеров. Выявлено семь сложных цепочек заражения, четыре из которых ранее не встречались.
Вторая кампания — GhostHire — направлена на блокчейн-разработчиков. Здесь злоумышленники выдают себя за рекрутеров и предлагают пройти «тестовое задание». Жертве присылают ссылку на GitHub-репозиторий, внутри которого скрывается вредонос. После запуска заражается система. В GhostHire также используются Telegram-боты и поддельные вакансии. Чтобы ускорить установку, злоумышленники ограничивают время выполнения задания, подталкивая жертву к действиям без проверки.
Общие инструменты и инфраструктура связывают обе кампании. В отличие от прежних атак BlueNoroff, нынешние операции стали масштабнее и технологичнее: использование генеративного ИИ ускоряет разработку вредоносов и усложняет их анализ. Преступники добавили новые языки программирования и расширили функциональность, что повышает скрытность и эффективность атак.
Эксперты отмечают, что теперь злоумышленники не просто воруют криптоактивы и учётные данные, но и используют ИИ для анализа информации, точного выбора целей и масштабирования кампаний.
- Источник новости
- www.securitylab.ru
