Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Как BlueNoroff взламывает macOS через дипфейки

2 мин
изображение: recraft Эксперты из Huntress обнаружили новую схему атаки, реализованную северокорейской группировкой BlueNoroff. Хакеры использовали дипфейки руководства компаний во время Zoom-встреч, чтобы убедить сотрудников загрузить вредоносные скрипты для macOS. Основной целью кампании была кража криптовалют — в духе других операций BlueNoroff, также известных под именами Sapphire Sleet и TA444. По данным отчёта, инцидент произошёл в июне 2025 года. Сотрудника технологической компании атакующие сначала связали через Telegram, представившись внешними специалистами. В приглашении на встречу они указали поддельную ссылку, якобы ведущую на Google Meet, которая на деле перенаправляла жертву в Zoom-сессию, размещённую на контролируемом хакерами домене. Во время видеозвонка участник якобы встретился с представителями руководства своей компании, чьи образы были сгенерированы нейросетями. У жертвы «случайно» перестал работать микрофон, и один из дипфейков посоветовал установить расширение Zo

изображение: recraft

Эксперты из Huntress обнаружили новую схему атаки, реализованную северокорейской группировкой BlueNoroff. Хакеры использовали дипфейки руководства компаний во время Zoom-встреч, чтобы убедить сотрудников загрузить вредоносные скрипты для macOS. Основной целью кампании была кража криптовалют — в духе других операций BlueNoroff, также известных под именами Sapphire Sleet и TA444.

По данным отчёта, инцидент произошёл в июне 2025 года. Сотрудника технологической компании атакующие сначала связали через Telegram, представившись внешними специалистами. В приглашении на встречу они указали поддельную ссылку, якобы ведущую на Google Meet, которая на деле перенаправляла жертву в Zoom-сессию, размещённую на контролируемом хакерами домене.

Во время видеозвонка участник якобы встретился с представителями руководства своей компании, чьи образы были сгенерированы нейросетями. У жертвы «случайно» перестал работать микрофон, и один из дипфейков посоветовал установить расширение Zoom для решения проблемы. По факту это был AppleScript-файл zoom_sdk_support.scpt, скачиваемый через Telegram.

Скрипт, казавшийся безопасным, открывал реальную страницу SDK Zoom, но в скрытых строках содержал вредоносный код. После запуска он подгружал второй компонент с сервера support[.]us05webzoom[.]biz. Далее происходила установка поддельного помощника iCloud в папку /tmp, и включался ряд скрытых процессов. В том числе — проверка наличия Rosetta 2 и установка её при отсутствии, отключение истории bash и запуск вредоносной цепочки.

Huntress зафиксировала восемь компонентов, среди которых:

  • Telegram 2 — внедряется под видом обновления Telegram. Написан на Nim, запускается по расписанию, подписан настоящим сертификатом Telegram;
  • Root Troy V4 — бэкдор на Go, управляющий удалённым выполнением команд и загрузкой новых компонентов;
  • InjectWithDyld (a) — загрузчик второго этапа с функциями инжекции в процессы и стиранием следов;
  • XScreen (keyboardd) — кейлоггер и шпион, записывающий экран, клавиатуру, буфер обмена;
  • CryptoBot (airmond) — крадет данные из более чем 20 криптокошельков, хранит их локально в зашифрованном виде для последующей отправки.

В отчёте подчёркивается, что атака демонстрирует эволюцию методов BlueNoroff: теперь киберпреступники сочетают дипфейки, социальную инженерию, подмену доменов и вредонос для macOS. Huntress предупреждает, что пользователи macOS всё чаще становятся целью, особенно в корпоративной среде, несмотря на иллюзию защищённости платформы.

Оригинал публикации на сайте CISOCLUB: "Северокорейские хакеры используют дипфейки в Zoom, чтобы распространять вредоносное ПО на macOS и красть криптовалюту".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.