Изследователи от Huntress разкриха нова кампания на севернокорейската хакерска група BlueNoroff, при която дийпфейк видеа на ръководители се използват по време на Zoom разговори, за да убедят служители да инсталират злонамерен софтуер на своите macOS устройства. Основната цел на атаките остава кражбата на криптовалута — тенденция, потвърдена и от скорошни анализи на SentinelLabs, Microsoft, Jamf и Kaspersky.
Началният контакт
Атаката започва с контакт по Telegram, при който нападателите се представят за външни професионалисти и предлагат виртуална среща. Изпращат линк през Calendly, който води към фалшив домейн, имитиращ Zoom.
Използване на дийпфейк видео
По време на срещата в Zoom се използват дийпфейк видеа на познати фигури от висшия мениджмънт на компанията-жертва, както и на други „участници“, за да се създаде достоверност. Това напомня на кампания, открита по-рано тази година от Trail of Bits.
Социално инженерство и заразяване
Когато жертвата среща „технически проблеми“ с микрофона си, дийпфейк участниците я убеждават да свали „разширение на Zoom“, което всъщност е злонамерен AppleScript файл – zoom_sdk_support.scpt.
Изпълнение на зловредния код
Скриптът отваря легитимна страница на Zoom SDK, но след това изпълнява команда, която изтегля вторичен зловреден товар от контролирана от атакуващите страница (support[.]us05webzoom[.]biz).
Изследователите идентифицират осем различни бинарни файла, от които пет ключови компонента:
Telegram 2 – Персистентен имплант, написан на Nim, представящ се за актуализатор на Telegram. Подписан е с валиден сертификат на Telegram.
Root Troy V4 – Задна врата, написана на Go, позволяваща отдалечено изпълнение на команди, изтегляне на други зловредни товари и управление на състоянието на заразената машина.
InjectWithDyld – Зареждач от втори етап, който дешифрира импланти и ги инжектира в процеси на системата. Съдържа функции за прикриване на следи.
XScreen (keyboardd) – Шпионски компонент за кейлогинг, запис на екрана и мониторинг на клипборда.
CryptoBot (airmond) – Инфостийлър, ориентиран към криптовалути, който краде данни от над 20 портфейлни приложения.
Основната цел на атаката е кражба на криптовалута, като кампанията демонстрира значителна еволюция в техниките на BlueNoroff:
Използване на дийпфейк технологии за изграждане на доверие в реално време.
Насочване към macOS потребители, които традиционно се смятат за по-малко застрашени.
Комбинация от социално инженерство и персонализиран малуер, способен да заобиколи защитите на macOS.
Обучете служителите си за рисковете от социално инженерство и дийпфейк технологии.
Проверявайте източниците на покани за срещи и връзки, изпращани чрез неофициални канали (напр. Telegram).
Ограничете правата за изпълнение на скриптове и наблюдавайте необичайни действия от потребители.
Използвайте EDR решения и антивирусен софтуер, съвместими с macOS.
Изключете възможността за автоматично инсталиране на Rosetta 2, когато не е необходимо.
Забранете или ограничете инсталацията на неподписани приложения от неизвестни разработчици.
Кампанията на BlueNoroff подчертава новата ера на интелигентни атаки, съчетаващи ИИ, фалшива идентичност и платформи за сътрудничество като Zoom. Въпреки че macOS дълго време се смяташе за по-сигурна операционна система, тя вече е основна мишена за усъвършенствани заплахи. Компаниите, работещи в технологичния и криптосектора, трябва да засилят своята защита и осведоменост срещу новото поколение на кибершпионаж и измами.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
