해커들, 딥페이크 줌 콜을 이용해 암호화폐 회사를 해킹하다

해커들이 딥페이크를 이용한 가짜 줌 콜을 사용하여 암호화폐 회사의 맥 시스템을 침해하고 암호화폐 지갑 데이터를 훔쳤습니다.

Huntress 사이버보안 회사는 2025년 6월 11일, 파트너가 Zoom 확장 프로그램에서 의심스러운 활동을 보고했을 때 고도의 사이버 공격을 감지했습니다. TA444, BlueNoroff 또는 Stardust Chollima라 알려진 북한의 국가 후원 해킹 그룹이 딥페이크 영상 통화와 맞춤형 Mac 악성 소프트웨어를 통해 암호화폐 재단에 공격을 가했습니다.

공격은 몇 주 전에 시작되었는데, 직원 한 명이 예상치 못한 텔레그램 메시지를 받아 그로 인해 구글 미트 링크로 이동하게 되었습니다. 이 링크는 사용자를 가짜 줌 웹사이트로 리디렉션하였고, 그들은 나중에 딥페이크가 가득한 회의에 참여하게 되었습니다. 시스템이 마이크를 차단했기 때문에 그들은 악성 줌 확장 프로그램을 다운로드하도록 요청받았습니다. ‘zoom_sdk_support.scpt’라는 애플스크립트 파일은 해롭지 않아 보였지만, 사실은 배경에서 비밀리에 악성 소프트웨어를 설치하였습니다.

이 악성 소프트웨어는 로제타 2를 설치하여 소프트웨어 호환성을 확보하면서 동시에 히스토리 로깅을 비활성화하였고, 그 후 백도어, 키로거, 암호화폐 도용 프로그램 등 추가적인 도구를 다운로드하였습니다. Huntress 연구원들은 macOS 사용자를 특별히 대상으로 한 8개의 다른 악성 파일을 발견하였는데, 이들은 애플 시스템에서는 드문 고급 프로세스 주입 기법을 통해 이루어졌습니다.

주요 구성 요소로는 원격 접근을 가능하게 하는 지속적인 임플란트인 “Telegram 2”, 완전한 기능을 갖춘 백도어인 “Root Troy V4”, 그리고 브라우저에서 암호화폐 지갑 데이터를 찾아 훔치도록 설계된 “CryptoBot”이 포함되었습니다. 해커들은 또한 신뢰를 쌓고 비밀번호를 수집하기 위해 딥페이크 아바타를 사용했습니다.

이 회사는 조직들에게 긴급 회의 초대, 마지막 순간 플랫폼 변화, 그리고 익숙하지 않은 확장 프로그램 설치 요청 – 특히 알 수 없는 연락처로부터의 요청에 대해 주의를 기울일 것을 권장합니다.