استخدم القراصنة مكالمة زوم مزيفة عميقة لاختراق شركة العملات الرقمية

استخدم القراصنة مكالمة زوم مزيفة باستخدام التقليد العميق لاختراق نظام Mac لشركة العملات المشفرة وسرقة بيانات محفظة العملات المشفرة.

Huntress، شركة الأمن السيبراني، رصدت هجومًا سيبرانيًا متقدمًا في الحادي عشر من يونيو 2025، عندما أبلغ شركاؤها عن نشاط مشبوه من امتداد Zoom. قامت مجموعة القرصنة الكورية الشمالية المدعومة من الدولة، المعروفة باسم TA444 أو BlueNoroff أو Stardust Chollima، بشن هجوم على مؤسسة عملة مشفرة من خلال مكالمات فيديو وهمية، وبرامج خبيثة مخصصة لنظام التشغيل Mac.

بدأت الهجمة قبل أسابيع عندما تلقى أحد أعضاء الطاقم رسالة غير متوقعة عبر تيليغرام أدت بهم إلى رابط Google Meet. قام الرابط بتوجيه المستخدم إلى موقع زووم المزيف، حيث شاركوا في اجتماع مليء بالخداع العميق لاحقاً. قام النظام بحظر الميكروفون الخاص بهم، لذا تم تشجيعهم على تنزيل امتداد زووم ضار. بدا الملف البرمجي ‘zoom_sdk_support.scpt’ غير ضار، ولكنه قام سراً بتثبيت برنامج ضار في الخلفية.

قام البرنامج الضار بتعطيل تسجيل التاريخ أثناء تثبيته Rosetta 2 للتوافق مع البرامج، ثم قام بتنزيل أدوات إضافية، والتي تضمنت الأبواب الخلفية، ومفاتيح السجل، وسراق العملات المشفرة. اكتشف الباحثون في هانتريس ثمانية ملفات ضارة مختلفة استهدفت مستخدمي نظام التشغيل macOS بشكل خاص من خلال تقنيات حقن العمليات المتقدمة، والتي تعتبر غير معتادة لأنظمة أبل.

المكونات الرئيسية تتضمن “Telegram 2″، وهو إدخال مستمر يتيح الوصول عن بعد؛ “Root Troy V4″، وهو باب خلفي متكامل الميزات؛ و”CryptoBot”، المصمم للبحث عن بيانات محفظة العملات المشفرة وسرقتها من المتصفحات. كما استخدم القراصنة أفاتارات deepfake لبناء الثقة وجمع كلمات المرور.

تنصح الشركة المنظمات بأن تكون حذرة من دعوات الاجتماعات العاجلة، وتغييرات الأنظمة في اللحظة الأخيرة، وطلبات تثبيت الإضافات غير المألوفة – خاصة من جهات الاتصال المجهولة.