手机克隆与AI深度伪造：朝鲜黑客如何攻击加密货币专业人士

加密行业正面临新一波网络威胁。与Lazarus Group相关的朝鲜黑客采用创新的攻击手段，包括深度整合手机克隆技术和AI生成的视频。这一组合使他们能够以空前的效率渗透加密专业人士的系统并窃取数字资产。

据Odaily和Huntress等研究公司透露，攻击者利用被攻破的Telegram账户发起带有伪造面孔的视频通话。他们冒充熟人、同事或可信人士，以说服受害者安装恶意软件。

伪造面孔的视频通话：Lazarus Group的新战术

BTC Prague会议的联合创始人Martin Kucharz分享了其中一次尝试的细节。攻击者通过被攻破的账户发起视频通话，并利用AI生成的深度伪造技术伪造身份。以修复Zoom音频问题为由，他们说服用户下载特定的“插件”或“更新”。

这正是手机克隆和多层次恶意软件安装的切入点。受害者以为自己在解决技术问题，实际上却向黑客提供了对设备的完全访问权限。

多层感染：恶意软件如何控制设备

Huntress的研究显示，下载的脚本能够在macOS设备上执行复杂操作。感染的设备成为后门的目标——隐藏的入口，黑客可以随时返回系统。

恶意软件的功能远超简单的间谍活动：

• 记录所有按键（包括密码和访问码）
• 截取剪贴板内容（可能包含钱包信息）
• 获取对加密资产和加密钱包的访问
• 克隆设备数据，用于后续操作

设备克隆与加密资产盗窃

SlowMist的专家指出，这些操作显示出针对特定目标的有计划的行动迹象。每次攻击都经过精心策划，并针对特定的加密专业人士或钱包进行定制。

被称为BlueNoroff的黑客集团利用设备克隆数据，不仅用于短期访问，还用于长期控制。他们可以追踪交易、监控资产流动，并等待最佳时机进行盗窃。

尤其危险的是，手机克隆使攻击者能够绕过基于短信验证码的双因素认证（2FA）方法。

对抗先进攻击的安全措施

随着语音和面部视频克隆技术的普及，视频和音频材料已不再是可靠的身份验证手段。加密行业必须迅速重新思考安全策略。

专家建议采取以下措施：

• 多因素认证（MFA）——不要仅依赖短信，使用硬件安全密钥
• 通过独立渠道验证身份——对视频通话的真实性存疑时，拨打已知号码确认
• 定期安全更新——持续更新软件和应用以修补漏洞
• 设备监控——关注异常活动、可疑进程和系统变化
• 关键资产隔离——将大量资金存放在离线冷钱包中，不连接互联网

朝鲜黑客持续改进其战术，利用先进的AI和克隆技术绕过传统防护措施。加密行业应保持警惕，不断调整安全策略，以应对日益增长的威胁。只有采用全面的网络安全措施，结合手机克隆检测可疑活动和强化多因素认证，才能为加密专业人士提供可靠的保护。