Cum au dat hackerii nord-coreeni lovitura pe Zoom cu deepfake-uri meșteșugite cu grijă. Avertisment pentru toate companiile: se pierd bani, dar și date sensibile
Cercetători de la Huntress au descoperit un nou atac informatic atribuit grupului nord-coreean BlueNoroff, cunoscut pentru acțiuni de furt de criptomonede.
Incidentul, investigat pe 11 iunie 2025, implică o schemă complexă desfășurată prin Zoom, folosind videoclipuri deepfake care imitau directori ai companiei vizate, scrie Bleeping Computer.
Cum începe totul
Atacul a început cu un mesaj trimis pe Telegram, în care atacatorii se dădeau drept profesioniști externi solicitând o întâlnire.
Linkul trimis părea a fi pentru Google Meet, dar direcționa în realitate către un domeniu Zoom fals, controlat de hackeri. Odată intrat în întâlnire, angajatul s-a trezit într-o conferință video cu participanți fictivi, printre care și presupusul său superior, generat prin AI.
În timpul apelului, victima a întâmpinat „probleme tehnice” cu microfonul. Persoanele din apel i-au sugerat să instaleze o extensie Zoom care „rezolva problema”, în realitate, un fișier AppleScript malițios.
Acesta deschidea o pagină autentică Zoom SDK pentru a induce în eroare, dar conținea peste 10.000 de linii albe care maschera un cod ce descărca malware dintr-un server controlat de hackeri.
O rețea de malware personalizat pentru macOS
Analiza efectuată de Huntress a identificat opt binare malițioase distincte pe sistemul compromis. Printre cele mai importante componente se numără:
Telegram 2 – un implant scris în Nim, deghizat în actualizare legitimă Telegram, cu semnătură validă. Rulează periodic și lansează întregul lanț de malware.
Root Troy V4 – un backdoor avansat în Go care permite execuție la distanță, comenzi în așteptare în modul sleep și descărcare de noi componente.
InjectWithDyld – un loader care decriptează și injectează implanturi în memorie, apoi șterge urmele pentru a evita detecția.
XScreen (keyboardd) – componentă de supraveghere care înregistrează tastarea, ecranul și conținutul clipboardului.
CryptoBot (airmond) – un infostealer dedicat criptomonedelor, care vizează peste 20 de platforme de portofele digitale și stochează local date criptate pentru exfiltrare.
Scopul final al atacului a fost, foarte probabil, furtul de criptomonede, conform tendințelor deja observate în activitatea BlueNoroff.
macOS, din ce în ce mai vizat de atacatori
Incidentul scoate în evidență o tendință îngrijorătoare: utilizatorii de macOS, adesea considerați mai protejați împotriva malware-ului, devin tot mai frecvent ținte ale atacurilor complexe.
Odată cu creșterea adoptării macOS în mediul de afaceri, escrocii dezvoltă malware specializat pentru acest sistem de operare.
Utilizarea tehnologiilor AI pentru crearea de deepfake-uri credibile, combinate cu tactici de inginerie socială și malware personalizat, marchează un nou nivel de sofisticare în atacurile cibernetice.
Așadar, organizațiile ar trebui să-și informeze angajații despre riscurile întâlnirilor video nesecurizate și să evite instalarea de fișiere primite prin canale neoficiale, chiar și atunci când par a veni de la superiori sau colaboratori aparent legitimi.
