Изследователи от Huntress разкриха нова кампания на севернокорейската хакерска група BlueNoroff, при която дийпфейк видеа на ръководители се използват по време на Zoom разговори, за да убедят служители да инсталират злонамерен софтуер на своите macOS устройства. Основната цел на атаките остава кражбата на криптовалута — тенденция, потвърдена и от скорошни анализи на SentinelLabs, Microsoft, Jamf и Kaspersky.

Как протича атаката?

1. Началният контакт
   Атаката започва с контакт по Telegram, при който нападателите се представят за външни професионалисти и предлагат виртуална среща. Изпращат линк през Calendly, който води към фалшив домейн, имитиращ Zoom.

2. Използване на дийпфейк видео
   По време на срещата в Zoom се използват дийпфейк видеа на познати фигури от висшия мениджмънт на компанията-жертва, както и на други „участници“, за да се създаде достоверност. Това напомня на кампания, открита по-рано тази година от Trail of Bits.

3. Социално инженерство и заразяване
   Когато жертвата среща „технически проблеми“ с микрофона си, дийпфейк участниците я убеждават да свали „разширение на Zoom“, което всъщност е злонамерен AppleScript файл – zoom_sdk_support.scpt.

4. Изпълнение на зловредния код
   Скриптът отваря легитимна страница на Zoom SDK, но след това изпълнява команда, която изтегля вторичен зловреден товар от контролирана от атакуващите страница (support[.]us05webzoom[.]biz).

Какъв зловреден софтуер се използва?

Изследователите идентифицират осем различни бинарни файла, от които пет ключови компонента:

• Telegram 2 – Персистентен имплант, написан на Nim, представящ се за актуализатор на Telegram. Подписан е с валиден сертификат на Telegram.

• Root Troy V4 – Задна врата, написана на Go, позволяваща отдалечено изпълнение на команди, изтегляне на други зловредни товари и управление на състоянието на заразената машина.

• InjectWithDyld – Зареждач от втори етап, който дешифрира импланти и ги инжектира в процеси на системата. Съдържа функции за прикриване на следи.

• XScreen (keyboardd) – Шпионски компонент за кейлогинг, запис на екрана и мониторинг на клипборда.

• CryptoBot (airmond) – Инфостийлър, ориентиран към криптовалути, който краде данни от над 20 портфейлни приложения.

Цел и последствия

Основната цел на атаката е кражба на криптовалута, като кампанията демонстрира значителна еволюция в техниките на BlueNoroff:

• Използване на дийпфейк технологии за изграждане на доверие в реално време.

• Насочване към macOS потребители, които традиционно се смятат за по-малко застрашени.

• Комбинация от социално инженерство и персонализиран малуер, способен да заобиколи защитите на macOS.

Препоръки към организациите

• Обучете служителите си за рисковете от социално инженерство и дийпфейк технологии.

• Проверявайте източниците на покани за срещи и връзки, изпращани чрез неофициални канали (напр. Telegram).

• Ограничете правата за изпълнение на скриптове и наблюдавайте необичайни действия от потребители.

• Използвайте EDR решения и антивирусен софтуер, съвместими с macOS.

• Изключете възможността за автоматично инсталиране на Rosetta 2, когато не е необходимо.

• Забранете или ограничете инсталацията на неподписани приложения от неизвестни разработчици.

Кампанията на BlueNoroff подчертава новата ера на интелигентни атаки, съчетаващи ИИ, фалшива идентичност и платформи за сътрудничество като Zoom. Въпреки че macOS дълго време се смяташе за по-сигурна операционна система, тя вече е основна мишена за усъвършенствани заплахи. Компаниите, работещи в технологичния и криптосектора, трябва да засилят своята защита и осведоменост срещу новото поколение на кибершпионаж и измами.