Северокорейские хакеры нацелились на криптовалюту с помощью вредоносного ПО для Mac

Компания по кибербезопасности Huntress обнаружила высокоразвивающуюся хакерскую кампанию, нацеленную на пользователей Mac в секторе криптовалют, которая использовала дипфейки в Zoom, хитрую социальную инженерию и вредоносное ПО, специфичное для Mac, в необычно сложной операции.

Huntress начала расследование вторжения 11 июня 2025 года после того, как партнер сообщил о подозрительной активности. Атака была в конечном итоге приписана северокорейской хакерской группе BlueNoroff (также известной как Sapphire Sleet или TA444), которая нацеливалась на сектор криптовалют с финансово мотивированными кампаниями как минимум с 2017 года.

Хакеры специально нацеливаются на пользователей macOS, используя технологии дипфейков для подражания руководителям компаний на поддельных встречах в Zoom с целью кражи криптовалюты.

Как работает мошенничество

Все началось, когда сотрудник (цель) в криптовалютном фонде получил, казалось бы, безобидное сообщение от внешнего контакта в своем Telegram с просьбой о встрече. Злоумышленник поделился ссылкой Calendly, которая, казалось, планировала звонок в Google Meet, но при нажатии на нее пользователь перенаправлялся на поддельный домен Zoom, контролируемый злоумышленником.

Несколько недель спустя сотрудник присоединился к «встрече в Zoom», заполненной дипфейками, имитирующими старшее руководство их компании, вместе с внешними контактами. Во время встречи сотрудник не смог использовать свой микрофон, и дипфейки указали ему скачать «расширение для Zoom». Ссылка на это расширение, отправленная им через Telegram, оказалась вредоносным файлом AppleScript (zoom_sdk_support.scpt), замаскированным под инструмент для устранения неполадок.

После загрузки AppleScript сначала открыл законную веб-страницу для Zoom SDK, но после более чем 10,500 пустых строк он загрузил полезную нагрузку с вредоносного веб-сайта, https[://]support[.]us05web-zoom[.]biz, и выполнил ее.

К моменту, когда Huntress начала свое расследование, финальная полезная нагрузка уже была удалена с сервера злоумышленника. Тем не менее, им удалось найти версию на VirusTotal, которая предоставила ценную информацию о том, что было задумано вредоносным ПО.

«Скрипт начинает с отключения ведения журнала истории bash и затем проверяет, установлен ли Rosetta 2, который позволяет Apple Silicon Mac запускать двоичные файлы x86_64», - объяснили исследователи Huntress в блоге в среду.

«Если он не установлен, он тихо устанавливает его, чтобы гарантировать, что полезные нагрузки x86_64 могут работать. Затем он создает файл с именем .pwd, который скрыт от взгляда пользователя из-за точки, предшествующей ему, и загружает полезную нагрузку с вредоносной, поддельной страницы Zoom в /tmp/icloud_helper.»

Специальное, специфичное для Mac вредоносное ПО

** В отличие от стандартного вредоносного ПО, эта атака включала в себя индивидуально разработанный набор инструментов с как минимум восемью отдельными компонентами, все специально адаптированные для macOS. Они были:

• Telegram 2: Постоянный бинарный файл, написанный на Nim, который отвечал за запуск основного бэкдора.
• Root Troy V4 (remoted): Полнофункциональный бэкдор, написанный на Go, способный загружать и выполнять другие вредоносные инструменты.
• InjectWithDyld (“a”): Загрузчик бинарных файлов на C++, загружаемый Root Troy V4, отвечающий за расшифровку и загрузку двух дополнительных имплантов.
• Base App: Кажущийся безобидным Swift-приложение, которое служит целевой точкой для внедрения вредоносного кода.
• Payload: Другой имплант, написанный на Nim, предназначенный для выполнения команд на зараженной системе.
• XScreen (keyboardd): Мощный кейлоггер, написанный на Objective-C, способный захватывать нажатия клавиш, содержимое буфера обмена и активность экрана.
• CryptoBot (airmond): Инструмент на основе Go, предназначенный для сбора файлов, связанных с криптовалютой, с машины жертвы.
• NetChk: Приманка-бинарный файл без значимой функции, который будет генерировать случайные числа вечно, вероятно, включенная для запутывания или отвлечения.

Примечательно, что вредоносное ПО использовало хитрые приемы, чтобы избежать обнаружения, такие как выполнение команд только тогда, когда дисплей Mac был в спящем режиме. Оно было тщательно разработано, чтобы обойти слои безопасности macOS, используя AppleScript и внедрение процессов.

Предупреждение для пользователей macOS

Исторически сложилось так, что macOS считалась более безопасной операционной системой, но это восприятие становится все более устаревшим. Поскольку все больше компаний принимают Macs, а удаленная работа становится стандартом, злоумышленники быстро адаптируются.

«За последние несколько лет мы наблюдали, как macOS становится более крупной целью для злоумышленников, особенно в отношении высокоразвивающих, спонсируемых государством атакующих», - отметили исследователи Huntress. «Поскольку эти атаки и частота их возникновения продолжают расти, будет все более важно защищать ваши Macs.»

Эта кампания ясно показывает одно: когда участвуют поддерживаемые государством группы, такие как BlueNoroff, даже видеозвонок не всегда является тем, чем кажется.