Эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) рассказали о новых сложных целевых атаках группы BlueNoroff, которая начала применять искусственный интеллект (ИИ) в атаках на руководителей блокчейн-проектов.
По словам специалистов в области кибербезопасности, вредоносные кампании GhostCall и GhostHire зафиксированы с апреля 2025 года, мишени — криптовалютные организации и Web3-организации в Индии, Турции, Австралии и других странах Европы и Азии. Эти атаки затрагивают в первую очередь устройства на macOS и Windows и управляются через единую инфраструктуру.
BlueNoroff (часть скандально известной, предположительно, северокорейской группы Lazarus) продолжает расширять кампанию SnatchCrypto. Она нацелена на организации, которые работают с криптовалютами, смарт-контрактами, сервисами DeFi (децентрализованные финансы), блокчейном и финтех-индустрией. В GhostCall и GhostHire для компрометации разработчиков и руководителей блокчейн-проектов применяются новые методы проникновения и специализированное вредоносное ПО.
Цель: блокчейн-руководители
Кампания GhostCall направлена на устройства, работающие на macOS, и начинается со сложной персонализированной атаки с использованием методов социальной инженерии. Злоумышленники связываются с жертвами через Telegram, выдавая себя за венчурных инвесторов. В некоторых случаях они используют взломанные учетные записи реальных предпринимателей и основателей стартапов. Жертв приглашают на поддельные встречи по инвестициям на фишинговых сайтах, имитирующих Zoom или Microsoft Teams. В ходе таких встреч им предлагается якобы обновить клиентское приложение для устранения проблемы со звуком. На самом деле это действие приводит к загрузке вредоносного скрипта и заражению устройства вредоносным ПО.
Соджун Рю, эксперт Kaspersky GreAT, отметил: «Кампания была построена на тщательно спланированном обмане. Злоумышленники включали во время инсценированных встреч видео, записанные с участием предыдущих жертв, чтобы они были похожи на реальный созвон. Таким образом они манипулировали новыми потенциальными жертвами. Собранные данные применялись не только против первоначальной жертвы, но и в атаках на цепочку поставок. Атакующие использовали установленные доверительные отношения для компрометации более широкого круга организаций и пользователей».
Злоумышленники распространяли новые зловреды, в том числе программы для кражи криптовалюты, секретных данных, учетных данных браузера и Telegram, через семь многоэтапных цепочек, четыре из которых ранее не встречались.
Цель: блокчейн-разработчики
В свою очередь, в кампании GhostHire атакам подвергаются блокчейн-разработчики. Злоумышленники входят к ним в доверие под видом рекрутеров. Жертв обманом (под видом теста на оценку навыков) вынуждают скачать и запустить репозиторий с GitHub, внутри него скрывается вредоносное ПО. У кампаний GhostHire и GhostCall общая инфраструктура и инструменты, но в GhostHire злоумышленники используют не видеозвонки, а поддельные объявления о найме. Если жертва подключается к Telegram-боту, ссылка на который указана в объявлении, она получает ZIP-файл или ссылку на GitHub. Злоумышленники искусственно подстегивают разработчика быстрее открыть полученные файлы, давая мало времени для выполнения задания. Но, если это сделать, на устройство будет установлена вредоносная программа.
ИИ на службе у хакеров
Использование генеративного ИИ позволяет BlueNoroff ускорить разработку вредоносного ПО и усовершенствовать свои техники атак. Злоумышленники внедрили новые языки программирования и добавили дополнительные функции, что усложнило процесс обнаружения и анализа. Это дает им возможность расширить область деятельности, увеличивая сложность и масштаб атак.
Омар Амин, старший эксперт Kaspersky GreAT, прокомментировал: «В отличие от предыдущих кампаний, на этот раз атакующие не просто крадут криптовалюту и учетные данные браузера. Генеративный ИИ дает злоумышленникам возможность быстрее получать и анализировать нужную информацию, а в результате нацеливаться более точно и расширять масштаб атак. Мы надеемся, что наше исследование поможет предотвратить дальнейший ущерб».
Читайте больше на нашем Telegram-канале!
