近日，一種名為“自騙”的新型攻擊手段正在瞄準加密貨幣愛好者和金融交易者。這種攻擊利用AI生成的深度偽造（Deepfake）視頻和惡意腳本，標志著社交工程技術(shù)的一次危險升級。網(wǎng)絡(luò)安全公司Gen Digital的研究人員發(fā)現(xiàn)，該攻擊活動通過利用經(jīng)過驗證的YouTube頻道、合成人物形象以及AI制作的惡意載荷，誘使受害者主動破壞自己的系統(tǒng)。

攻擊手段：深度偽造視頻結(jié)合惡意腳本

這種攻擊在2024年第三季度激增了614%，它結(jié)合了尖端的深度偽造技術(shù)和心理定制的誘餌，引發(fā)了人們對生成式AI在網(wǎng)絡(luò)犯罪中被武器化的高度關(guān)注。攻擊通常從一個托管在已被劫持的YouTube頻道上的深度偽造視頻開始，該頻道擁有11萬訂閱者。視頻中出現(xiàn)一個名為“Thomas Harris”或“Thomas Roberts”的合成人物形象，通過高級的面部動畫、語音合成和身體動作復(fù)制技術(shù)創(chuàng)建。

盡管該頻道看似合法，甚至包含從TradingView轉(zhuǎn)用的內(nèi)容，但未公開的教程視頻會指示觀眾激活一個虛構(gòu)的“AI開發(fā)者模式”，聲稱能夠以97%的準確率預(yù)測加密貨幣市場趨勢。

從深度偽造到PowerShell惡意載荷

攻擊的核心在于其使用AI生成的腳本，旨在繞過用戶的懷疑。受害者被引導(dǎo)打開Windows的運行對話框（Win+R），并執(zhí)行一個PowerShell命令，從Pastefy[.]com或Obin[.]net等粘貼分享網(wǎng)站獲取惡意腳本。

研究人員解密的一例代表性載荷顯示，攻擊者甚至使用ChatGPT優(yōu)化了他們的代碼：

該腳本連接到命令與控制（C&C）服務(wù)器（最近被追蹤為developer-update[.]dev或developerbeta[.]dev），以部署Lumma Stealer或NetSupport遠程訪問工具。

Lumma Stealer會竊取加密貨幣錢包和瀏覽器憑證，而NetSupport則授予攻擊者對其系統(tǒng)的完全控制權(quán)。取證分析揭示了關(guān)鍵組件的SHA-256哈希值，包括：

• a5e0635363bbb5d22d5ffc32d9738665942abdd89d2e6bd1784d6a60ac521797（惡意PowerShell腳本）
• 2fe60aa1db2cf7a1dc2b3629b4bbc843c703146f212e7495f4dc7745b3c5c59e（Lumma Stealer變種）

值得注意的是，深度偽造視頻通過程序性細節(jié)隱藏其人工性質(zhì)——合成聲音會解釋如何通過添加注冊表排除項來繞過Windows Defender，而屏幕上的按鍵操作則模仿了真實的TradingView工作流程。

攻擊者還通過YouTube的贊助廣告系統(tǒng)擴大影響力，目標鎖定在觀看合法金融內(nèi)容的用戶。與傳統(tǒng)網(wǎng)絡(luò)釣魚不同，受害者會積極參與到自身的攻擊中，誤以為自己在訪問獨家工具。隨著網(wǎng)絡(luò)犯罪分子現(xiàn)在能夠自動化人物創(chuàng)建和腳本優(yōu)化，通過多種渠道驗證數(shù)字指令已成為一項不可或缺的安全實踐。