Nordkoreanische Hacker zielen auf Krypto mit Mac-Malware

Die Cybersicherheitsfirma Huntress hat eine hochgradig ausgeklügelte Hacking-Kampagne aufgedeckt, die sich gegen Mac-Nutzer im Kryptowährungssektor richtet und Deepfake-Zoom-Anrufe, clevere soziale Ingenieurskunst und Mac-spezifische Malware in einer ungewöhnlich komplexen Operation einsetzte.

Huntress begann am 11. Juni 2025 mit der Untersuchung des Eindringens, nachdem ein Partner verdächtige Aktivitäten gemeldet hatte. Der Angriff wurde letztendlich der nordkoreanischen Hackergruppe BlueNoroff (auch bekannt als Sapphire Sleet oder TA444) zugeschrieben, die seit mindestens 2017 den Kryptowährungssektor mit finanziell motivierten Kampagnen ins Visier nimmt.

Die Hacker zielen speziell auf macOS-Nutzer ab, indem sie Deepfake-Technologie verwenden, um Unternehmensleiter in gefälschten Zoom-Meetings zu imitieren, um Kryptowährungen zu stehlen.

Wie funktioniert der Betrug?

Alles begann, als ein Mitarbeiter (Ziel) einer Kryptowährungsstiftung eine scheinbar harmlose Nachricht von einem externen Kontakt auf Telegram erhielt, in der um ein Treffen gebeten wurde. Der Angreifer teilte einen Calendly-Link, der angeblich ein Google Meet-Gespräch planen sollte, aber beim Klicken wurde der Benutzer auf eine gefälschte Zoom-Domain umgeleitet, die vom Bedrohungsakteur kontrolliert wurde.

Mehrere Wochen später trat der Mitarbeiter einem „Zoom-Meeting“ bei, das von Deepfakes bevölkert war, die die Führungskräfte ihres Unternehmens sowie externe Kontakte nachahmten. Während des Meetings konnte der Mitarbeiter sein Mikrofon nicht verwenden, und die Deepfakes wiesen ihn an, eine „Zoom-Erweiterung“ herunterzuladen. Der Link zu dieser Erweiterung, der ihnen über Telegram gesendet wurde, stellte sich als bösartige AppleScript-Datei (zoom_sdk_support.scpt) heraus, die als Troubleshooting-Tool getarnt war.

Nach dem Herunterladen öffnete das AppleScript zunächst eine legitime Webseite für Zoom SDKs, aber nach über 10.500 leeren Zeilen lud es eine Nutzlast von einer bösartigen Webseite, https[://]support[.]us05web-zoom[.]biz, herunter und führte sie aus.

Als Huntress mit ihrer Untersuchung begann, war die endgültige Nutzlast bereits von dem Server des Angreifers entfernt worden. Sie konnten jedoch eine Version auf VirusTotal finden, die wertvolle Einblicke in die Funktionsweise der Malware bot.

„Das Skript beginnt damit, das Bash-Historienprotokoll zu deaktivieren und überprüft dann, ob Rosetta 2, das es Apple Silicon Macs ermöglicht, x86_64-Binärdateien auszuführen, installiert ist“, erklärten die Forscher von Huntress in einem Blogbeitrag am Mittwoch.

„Wenn dies nicht der Fall ist, installiert es es stillschweigend, um sicherzustellen, dass x86_64-Nutzlasten ausgeführt werden können. Es erstellt dann eine Datei namens .pwd, die aufgrund des vorangestellten Punktes für den Benutzer unsichtbar ist, und lädt die Nutzlast von der bösartigen, gefälschten Zoom-Seite nach /tmp/icloud_helper herunter.

Eine maßgeschneiderte, Mac-spezifische Malware

Im Gegensatz zu standardmäßiger, handelsüblicher Malware beinhaltete dieser Angriff ein maßgeschneidertes Toolkit mit mindestens acht separaten Komponenten, die alle speziell für macOS entwickelt wurden. Diese waren:

• Telegram 2: Die persistente Binärdatei, geschrieben in Nim, die für den Start des primären Backdoors verantwortlich war.
• Root Troy V4 (remoted): Ein voll funktionsfähiges Backdoor, geschrieben in Go, das in der Lage ist, andere bösartige Tools herunterzuladen und auszuführen.
• InjectWithDyld (“a”): Ein C++-Binärloader, der von Root Troy V4 heruntergeladen wurde und für das Entschlüsseln und Laden von zwei zusätzlichen Implantaten verantwortlich ist.
• Base App: Eine scheinbar harmlose Swift-Anwendung, die als Ziel für bösartigen Code dient.
• Payload: Ein anderes Implantat, geschrieben in Nim, das dazu entworfen wurde, Befehle auf dem infizierten System auszuführen.
• XScreen (keyboardd): Ein leistungsstarker Keylogger, geschrieben in Objective-C, der in der Lage ist, Tastatureingaben, Clipboard-Inhalte und Bildschirmaktivitäten aufzuzeichnen.
• CryptoBot (airmond): Ein auf Go basierendes Tool, das dazu entworfen wurde, kryptowährungsbezogene Dateien vom Computer des Opfers zu sammeln.
• NetChk: Eine Ablenkungs-Binärdatei ohne bedeutende Funktion, die für immer zufällige Zahlen generiert, wahrscheinlich zur Verschleierung oder Irreführung enthalten.

Bemerkenswerterweise verwendete die Malware clevere Tricks, um eine Erkennung zu vermeiden, indem sie Befehle nur ausführte, wenn das Display des Macs im Ruhezustand war. Sie wurde sorgfältig entwickelt, um die Sicherheitslayer von macOS mithilfe von AppleScript und Prozessinjektion zu umgehen.

Warnung für macOS-Nutzer

Historisch gesehen wurde macOS als sichereres Betriebssystem angesehen, aber diese Wahrnehmung ist zunehmend veraltet. Da immer mehr Unternehmen Macs übernehmen und Remote-Arbeit zur Norm wird, passen sich Angreifer schnell an.

„In den letzten Jahren haben wir gesehen, dass macOS ein größeres Ziel für Bedrohungsakteure geworden ist, insbesondere in Bezug auf hochgradig ausgeklügelte, staatlich unterstützte Angreifer“, bemerkten die Forscher von Huntress. „Da diese Angriffe und die Häufigkeit, mit der sie auftreten, weiter zunehmen, wird es immer wichtiger, Ihre Macs zu schützen.“

Diese Kampagne macht eines klar: Wenn staatlich unterstützte Gruppen wie BlueNoroff beteiligt sind, ist selbst ein Videoanruf nicht immer das, was er zu sein scheint.