- 19,444
- 40
- 8 Ноя 2022
Вас зовут в Zoom ради совещания, а выходите вы уже с трояном в сердце системы.
Хакерская группа BlueNoroff, связанная с КНДР, начала применять технологию дипфейков для подмены топ-менеджеров на видеозвонках в Zoom, убеждая сотрудников компаний установить вредоносное ПО на устройства с macOS. Эта новая тактика демонстрирует высокий уровень социальной инженерии, совмещённой с кастомизированной малварью, ориентированной на похищение криптовалюты.
Инцидент был Для просмотра ссылки Войдиили Зарегистрируйся 11 июня 2025 года специалистами Huntress. Основная цель атаки, как и в предыдущих кампаниях группы, заключалась в краже цифровых активов. Обнаруженные элементы атаки подтвердили выводы, ранее озвученные командами Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся , наблюдавшими за похожими операциями.
Жертвой стал сотрудник технологической компании, которому злоумышленники написали в Telegram, представившись внешними специалистами. Они пригласили его на встречу, отправив ссылку через сервис Calendly — по виду это было приглашение в Google Meet, но в реальности открывалась фальшивая страница Zoom, размещённая на домене, контролируемом атакующими. Этот приём напоминает методы другой северокорейской группы, известной как Для просмотра ссылки Войдиили Зарегистрируйся .
На виртуальной встрече присутствовали дипфейковые изображения знакомых руководителей компании, что укрепило доверие жертвы. Под предлогом неисправности микрофона, которая возникла у сотрудника во время видеозвонка, «руководители» предложили установить специальное расширение Zoom, якобы устраняющее технические неполадки. Ссылка для загрузки была отправлена через Telegram и вела к скрипту Для просмотра ссылки Войдиили Зарегистрируйся с названием zoom_sdk_support.scpt.
При запуске файл открывал настоящую страницу SDK Zoom, но перед этим обрабатывал 10 500 пустых строк, после чего активировал вредоносную команду, загружающую вторичный компонент с поддельного домена (support.us05webzoom.biz). На момент анализа основное вредоносное содержимое уже было удалено с сервера атакующих, однако его образец всё же был найден на VirusTotal, что позволило исследователям изучить функционал.
Скрипт отключал историю команд bash, проверял наличие Rosetta 2 — компонента, позволяющего запускать x86_64-код на новых чипах Apple, и при необходимости устанавливал его без уведомлений. Далее создавался скрытый файл .pwd и происходила загрузка вредоносного компонента в папку /tmp под видом icloud_helper.
В процессе расследования Huntress обнаружила восемь различных вредоносных бинарников на заражённом Mac. Основные элементы атаки включали:
Хакерская группа BlueNoroff, связанная с КНДР, начала применять технологию дипфейков для подмены топ-менеджеров на видеозвонках в Zoom, убеждая сотрудников компаний установить вредоносное ПО на устройства с macOS. Эта новая тактика демонстрирует высокий уровень социальной инженерии, совмещённой с кастомизированной малварью, ориентированной на похищение криптовалюты.
Инцидент был Для просмотра ссылки Войди
Жертвой стал сотрудник технологической компании, которому злоумышленники написали в Telegram, представившись внешними специалистами. Они пригласили его на встречу, отправив ссылку через сервис Calendly — по виду это было приглашение в Google Meet, но в реальности открывалась фальшивая страница Zoom, размещённая на домене, контролируемом атакующими. Этот приём напоминает методы другой северокорейской группы, известной как Для просмотра ссылки Войди
На виртуальной встрече присутствовали дипфейковые изображения знакомых руководителей компании, что укрепило доверие жертвы. Под предлогом неисправности микрофона, которая возникла у сотрудника во время видеозвонка, «руководители» предложили установить специальное расширение Zoom, якобы устраняющее технические неполадки. Ссылка для загрузки была отправлена через Telegram и вела к скрипту Для просмотра ссылки Войди
При запуске файл открывал настоящую страницу SDK Zoom, но перед этим обрабатывал 10 500 пустых строк, после чего активировал вредоносную команду, загружающую вторичный компонент с поддельного домена (support.us05webzoom.biz). На момент анализа основное вредоносное содержимое уже было удалено с сервера атакующих, однако его образец всё же был найден на VirusTotal, что позволило исследователям изучить функционал.
Скрипт отключал историю команд bash, проверял наличие Rosetta 2 — компонента, позволяющего запускать x86_64-код на новых чипах Apple, и при необходимости устанавливал его без уведомлений. Далее создавался скрытый файл .pwd и происходила загрузка вредоносного компонента в папку /tmp под видом icloud_helper.
В процессе расследования Huntress обнаружила восемь различных вредоносных бинарников на заражённом Mac. Основные элементы атаки включали:
- <strong>Telegram 2</strong> — имплант на языке Nim, замаскированный под обновление Telegram. Работает по расписанию, поддерживая устойчивость и выполняя первичную загрузку остальных компонентов. Программа подписана настоящим сертификатом разработчика Telegram, что позволяет ей избегать подозрений.
- <strong>Root Troy V4</strong> — бэкдор на Go, обеспечивающий удалённое выполнение команд, загрузку дополнительных компонентов и управление системой после заражения. Он сохраняет конфигурации и состояние всей вредоносной инфраструктуры.
- <strong>a (InjectWithDyld)</strong> — загрузчик второго уровня, расшифровывающий импланты и внедряющий их в память. Использует macOS API для внедрения в процессы и удаляет свои следы после выполнения.
- <strong>XScreen (keyboardd)</strong> — компонент слежки, записывающий нажатия клавиш, экран и буфер обмена, передавая данные на управляющий сервер.
- <strong>CryptoBot (airmond)</strong> — инфостилер, нацеленный на более чем 20 криптокошельков. Извлекает чувствительные данные и сохраняет их в локальный зашифрованный кэш для последующей отправки злоумышленникам.
- Источник новости
- www.securitylab.ru
