Lazarus-Hacker nutzen Deepfake-Videoanrufe für Krypto-Malware

Key Takeaways:

• Nordkoreanische Hacker nutzen Deepfake-Videoanrufe, um Krypto-Nutzer zu täuschen.
• Die Angreifer geben sich als Bekannte aus und installieren über einen angeblichen Zoom-Audio-Fix Schadsoftware.
• Die Methode wird der Lazarus-Untergruppe BlueNoroff (TA444) zugeschrieben.
• KI-gestützte Betrugsmethoden trieben Krypto-Verluste 2025 auf 17 Milliarden US-Dollar.

Nordkoreanische Hacker setzen zunehmend auf raffinierte Social-Engineering-Angriffe, um Krypto-Entwickler und -Nutzer ins Visier zu nehmen. Die neueste Taktik: Gefälschte Live-Videoanrufe, bei denen die Angreifer mithilfe von KI-generierten Deepfakes die Identität einer vertrauten Person annehmen.

Die Taktik: Ein gefälschter Anruf mit fatalen Folgen

Der Angriff folgt einem ausgeklügelten Muster, das kürzlich von Martin Kuchař, Mitgründer der BTC Prague, öffentlich gemacht wurde. Die Angreifer kontaktieren das Opfer zunächst über ein bereits kompromittiertes Telegram-Konto. Anschließend wird ein Zoom- oder Teams-Call vereinbart.

Während des Anrufs nutzen die Hacker ein Deepfake-Video, um als jemand zu erscheinen, den das Opfer kennt. Sie behaupten dann, es gäbe Audio-Probleme, und bitten das Opfer, ein Plugin oder eine Datei zur Fehlerbehebung zu installieren – den angeblichen „Audio-Fix“.

„Sobald installiert, gewährt die Malware den Angreifern vollen Systemzugriff“, erklärt Kuchař. Dies ermöglicht es ihnen, Bitcoin zu stehlen, Telegram-Konten zu übernehmen und diese dann für weitere Angriffe zu nutzen.

Ein bekanntes Muster aus dem Hacker-Arsenal

Die beschriebene Methode ist nicht neu. Sie entspricht exakt einer bereits im Juli letzten Jahres von der Cybersicherheitsfirma Huntress dokumentierten Technik. Damals berichteten die Forscher, dass die Angreifer ihre Ziele ebenfalls über Telegram ködern und in einen vorgetäuschten Zoom-Call locken.

Die vermeintliche Zoom-Reparaturdatei entpuppt sich als bösartiges AppleScript, das eine mehrstufige Infektion auf macOS-Systemen initiiert. Das Skript:

• Deaktiviert die Shell-History.
• Installiert bei Bedarf Rosetta 2 auf Apple Silicon Geräten.
• Fordert wiederholt das Systempasswort des Benutzers an, um erhöhte Berechtigungen zu erlangen.

Die finale Malware installiert laut Huntress mehrere schädliche Komponenten:

• Persistente Backdoors
• Keylogger und Clipboard-Stealer
• Spezielle Wallet-Diebstahl-Tools

Die Urheber: Nordkoreas BlueNoroff

Die Sicherheitsforscher von Huntress schreiben die Angriffe mit hoher Sicherheit der nordkoreanischen Advanced Persistent Threat (APT) TA444 zu, besser bekannt als BlueNoroff. Diese Gruppe operiert unter dem Dach des berüchtigten Lazarus-Kollektivs, einem staatlich geförderten Hacker-Verbund, der sich seit Jahren auf den Diebstahl von Kryptowährungen spezialisiert hat.

Shān Zhang, Chief Information Security Officer bei der Blockchain-Sicherheitsfirma Slowmist, bestätigt gegenüber Decrypt, dass der jüngste Angriff auf Kuchař „möglicherweise“ mit breiteren Kampagnen der Lazarus-Gruppe in Verbindung steht.

„Kein einzelner Indikator ist für sich entscheidend; es ist die Kombination, die zählt“, so Zhang. „Die Deepfake-Köder setzen typischerweise auf neue oder wegwerfbare Meeting-Konten und gefälschte Zoom- oder Teams-Links. Der Anruf folgt schnell einem strengen Skript.“

KI-Betrug treibt Verluste auf Rekordniveau

Der Vorfall unterstreicht eine besorgniserregende Entwicklung. Laut Daten der Blockchain-Analysefirma Chainalysis haben KI-gestützte Betrugsmethoden wie Deepfake-Videos, Voice Cloning und gefälschte Identitäten die kryptobezogenen Verluste im Jahr 2025 auf einen Rekordwert von 17 Milliarden US-Dollar getrieben.

David Liberman, Mitgründer des dezentralen KI-Netzwerks Gonka, sieht klare Muster: „Es gibt eine eindeutige Wiederverwendung über Kampagnen hinweg. Wir sehen konsequent die gezielte Ansprache spezifischer Wallets und den Einsatz sehr ähnlicher Installationsskripte.“

Sein dringender Rat an die Community: Bilder und Videos „können nicht länger als zuverlässiger Authentizitätsnachweis behandelt werden“. Digitale Inhalte sollten kryptografisch vom Ersteller signiert werden, wobei solche Signaturen eine Multi-Faktor-Autorisierung erfordern sollten.

Die Angriffe der Lazarus-Gruppe zeigen, dass die Bedrohungslage sich stetig weiterentwickelt. Wo früher Phishing-E-Mails genügten, setzen staatliche Akteure heute auf hochgradig personalisierte, technologisch ausgefeilte Social-Engineering-Angriffe. Für jeden, der in der Krypto-Branche aktiv ist, gilt daher mehr denn je: Höchste Vorsicht bei unerwarteten Kontaktaufnahmen und niemals Software von unbekannten Quellen installieren.