CoinFubi

一场来自朝鲜的黑客活动正针对金融科技与加密货币公司，手段包括社会工程学、深度伪造和 macOS 恶意软件。这些攻击由 Google Cloud 的 Mandiant Threat Intelligence 详细披露，并将该行动归因于 UNC1069，这是一个以盈利为目的、在朝鲜境内运作的威胁组织。攻击的最终目标是窃取加密货币。研究人员发现其中一场活动起始于被劫持的加密货币高管的 Telegram 账户。

该个人的账户此前曾被入侵。此账户被用来向金融科技领域的其他人发送信息，以建立信任与关系。攻击者随后发送日历邀请，邀请加入会议。此会议看起来像 Zoom，但实际上是在攻击者自建的基础设施上托管。

据 Mandiant 透露，一名目标在加入通话后，面对的是该加密货币高管的深度伪造影像。尽管研究人员尚未能核实此事，但他们指出 AI 辅助的社交工程骗局是已知问题。加入会议后，攻击者声称受害者存在音频问题并提供解决方案帮助。然而，这一招是 ClickFix 攻击手法，攻击者常以声称存在技术问题为由，诱使受害者在其设备上执行命令，从而悄悄授予攻击者访问权限并运行代码。

获得访问权限后，攻击者即可在设备上投放恶意文件，形式为 Waveshaper 和 Hypercall 两种后门，使攻击者获得更高的控制权。随后他们安装了信息窃取型恶意软件和数据挖掘工具 Deepbreath 与 CHROMEPUSH，以取得对机器的更深控制与持续性。这包括从用户的 Keychain 中窃取凭证、从 Chrome、Brave 和 Edge 浏览器中提取浏览器数据、从两个版本的 Telegram 中提取用户数据，以及从 Apple Notes 中提取用户数据。最终，攻击者可能获得的所有登录凭证与密码都可能被获取，用于窃取受害者资产或用于对这些账户进行进一步的社会工程攻击。

“单台主机上部署的工具数量表明攻击者为获取凭证、浏览器数据和会话令牌以促成金融盗窃而进行的高度坚定的努力，”Mandiant 表示。“此事件是一次有针对性的攻击，旨在尽可能多地收集数据，以实现双重目的：促进加密货币盗窃并通过利用受害者的身份与数据来推动未来的社会工程活动。”该公司补充称，国家支持的北朝鲜威胁组织在历史上一直有针对金融科技机构的大规模加密货币劫案与攻击的记录。仅在 2025 年，朝鲜就通过针对加密货币的攻击获得超过 20 亿美元的收益，占去年所有被盗的加密货币的比重超过 60%。