BlueNoroff kapert Krypto-Wallets per Zoom-Meeting

BlueNoroff attackiert Krypto-CEOs mit gefälschten Zoom-Meetings. KI-Deepfakes und Clipboard-Hacks führen in unter 5 Minuten zum vollen Systemzugriff.

Der Sicherheitsdienstleister Arctic Wolf Labs hat eine hochkomplexe Angriffskampagne der nordkoreanischen Hackergruppe BlueNoroff (Teil des Lazarus-Kollektivs) aufgedeckt. Die Operation zielt auf den Web3- und Kryptowährungssektor in Nordamerika und Europa ab. Die Angreifer kombinieren dabei klassisches Social Engineering mit moderner Deepfake-Technologie und automatisierten Hacking-Tools.

In fünf Minuten zur Vollkontrolle

Die Angriffskette von BlueNoroff zeichnet sich durch eine extreme Geschwindigkeit aus. Während der Aufbau von Vertrauen über Monate hinweg per E-Mail oder Telegram erfolgen kann, dauert die technische Kompromittierung nach dem Klick auf den schadhaften Link weniger als fünf Minuten.

1. Erstkontakt: Die Angreifer geben sich als seriöse Akteure im Fintech- oder Rechtsbereich aus.
2. Einladung: Über Dienste wie Calendly wird ein Termin vereinbart. Kurz vor dem Meeting wird der Link zu einem Google Meet heimlich durch einen manipulierten Zoom- oder Microsoft-Teams-Link ersetzt (Typo-Squatting).
3. Die Fake-Umgebung: Klickt das Opfer auf den Link, öffnet sich im Browser eine JavaScript-Anwendung, die das Interface von Zoom oder Teams perfekt imitiert. Es findet kein tatsächlicher Video-Call statt; stattdessen sieht das Opfer eine vorbereitete Simulation.

Drei Arten von Täuschung: Das Deepfake-Arsenal

Arctic Wolf identifizierte bei der Analyse der Angreifer-Infrastruktur über 950 Dateien, die für die Simulation der Meetings genutzt wurden. Die Hacker setzen auf eine Mischung aus echten Daten und KI-generierten Inhalten.

Übersicht der gefälschten Teilnehmer

Typ	Inhalt	Methode
Echte Personen	Gestohlene Videoaufnahmen	Webcam-Aufnahmen früherer Opfer werden als „Teilnehmer“ imitiert.
KI-Avatare	Statische Bilder	Mit ChatGPT (GPT-4o) erzeugte Porträts dienen als Platzhalter für Teilnehmer ohne Video.
Deepfake-Videos	Komposit-Videos	KI-generierte Gesichter werden auf echte Körperbewegungen (Nicken, Lächeln) projiziert.

Die Angreifer nutzen diese Bibliothek, um das Meeting an das professionelle Netzwerk des Opfers anzupassen. Erkennt ein Krypto-Gründer bekannte Gesichter der Branche im Call, sinkt die Hemmschwelle drastisch.

Der „ClickFix“-Trick

Sobald das Opfer im vermeintlichen Meeting ist, wird ein technisches Problem simuliert. Ein Overlay behauptet, das „SDK sei veraltet“. Das Opfer wird aufgefordert, einen Befehl zu kopieren und in das Windows-Terminal einzufügen, um das Problem zu beheben.

Hier setzt der ClickFix-Angriff an: Beim Klick auf den „Kopieren“-Button wird nicht der angezeigte, harmlose Text in die Zwischenablage gelegt, sondern ein bösartiger PowerShell-Befehl. Führt der Nutzer diesen aus, startet im Hintergrund eine mehrstufige Infektionswelle:

• PowerShell C2-Implantat: Ein in den Speicher geladenes Skript stellt eine Verbindung zum Command-and-Control-Server der Hacker her.
• Browser-Injektion: Die Hacker schleusen Code direkt in Browser-Prozesse (Chrome, Edge, Brave) ein, um Passwörter und Krypto-Wallet-Erweiterungen auszulesen.
• Identitätsdiebstahl: Telegram-Sitzungsdaten werden gestohlen, um das Konto des Opfers für weitere Angriffe zu übernehmen.

Zielprofile: Fokus auf die Führungsebene

Die Auswertung der Daten zeigt, dass BlueNoroff keine opportunistischen Breitband-Angriffe durchführt, sondern mathematisch präzise selektiert.

• Branchenfokus: 80 % der Ziele stammen aus dem Krypto- und Finanzsektor.
• Seniorität: 45 % der Angriffsziele sind CEOs oder Gründer von Unternehmen.
• Geografie: Die USA sind mit 41 % am stärksten betroffen, gefolgt von Singapur (11 %) und Großbritannien (7 %).

„KI-Systeme können die Ausführung automatisieren, was aber nicht gleichbedeutend mit einer Erhöhung der operativen Sicherheit ist. Letztlich verlassen sich diese Angriffe auf Mechanismen, die wir seit Jahren kennen, nur die Verpackung wird immer perfekter.“

Sicherheitsforscher von Arctic Wolf

Hacker waren strikt zu nordkoreanischen Arbeitszeiten aktiv

Die Ermittler stellten fest, dass die Aktivitäten der Angreifer strikt den regulären Arbeitszeiten in Nordkorea (KST, UTC+9) folgen. Zwischen 2025 und März 2026 registrierte die Gruppe über 80 täuschend echte Domains für Videokonferenz-Dienste.

Der Operator arbeitet unter dem Benutzernamen „king“ auf einem macOS-System als Host, während die eigentlichen Angriffe und Screen-Recordings in einer virtuellen Windows-Umgebung (VMware) stattfinden. Diese professionelle Trennung dient der Verschleierung der eigenen Spuren.

Maßnahmen für Unternehmen

Unternehmen im Web3-Bereich sollten dringend ihre Sicherheitsvorgaben verschärfen:

1. Mitarbeiterschulung: Aufklärung über den „ClickFix“-Mechanismus. Kein seriöser Anbieter verlangt Terminal-Befehle zur Fehlerbehebung in einem Browser-Call.
2. Technische Härtung: Aktivierung von PowerShell Script Block Logging (Event ID 4104), um schadhafte Skripte im Speicher zu erkennen.
3. Identitätsschutz: Sofortige Entwertung von Browser-Sitzungen und Passwort-Resets, falls ein Mitarbeiter mit verdächtigen Links interagiert hat.

Die Untersuchung von Arctic Wolf zeigt, dass BlueNoroff eine geschlossene Feedback-Schleife geschaffen hat: Jedes kompromittierte Opfer liefert neues Bild- und Videomaterial, um den nächsten Angriff noch glaubwürdiger zu machen.