Dans une nouvelle campagne sophistiquée, les dirigeants sont trompés dans l’installation de logiciels malveillants via des appels vidéo générés par AI avec des boss Deepfake, offrant des logiciels spywares Mac ciblant des sociétés cryptographiques.
Dans une nouvelle campagne d’ingénierie sociale, Bluenoroff de la Corée du Nord incite les dirigeants de l’entreprise à télécharger de fausses extensions de zoom qui installent une suite malware Mac sur mesure.
Selon les résultats de Cybersecurity Outfit Huntress, le tristement célèbre groupe APT (AKA TA444, Sapphire Sheet et Copernicium) utilise des faux de la direction des victimes pour vendre la ruse.
« Cette attaque est un puissant exemple de l’évolution des acteurs de la menace », a déclaré Randolf Barr, CISO à Céquence. « L’utilisation de FAEDFAKES générées par l’AI dans les appels vidéo en temps réel, combinées à l’ingénierie sociale personnalisée, représente un changement majeur dans la sophistication des cyberattaques. »
L’attaque a livré une gamme de logiciels malveillants MacOS, y compris les voleurs d’informations, les keyloggers et les déambulations, montrant des métiers inhabituellement avancés comme la surveillance du presse-papiers et l’exécution de la commande consacrée au sommeil, selon Huntress.
Attiré par une fausse invitation Google Meet Google
Dans un article de blog décrivant l’attaque de Bluenoroff, Huntress a déclaré qu’il avait appris l’intrusion le 11 juin après qu’un partenaire (une fondation de crypto-monnaie) a rapporté qu’un utilisateur final avait téléchargé une extension de zoom suspecte. Lorsque Huntress a déployé son agent EDR, il a constaté que l’infection s’était réellement produite des semaines auparavant.
L’accès initial est venu via Telegram, où la victime a reçu une demande de réunion apparemment bénigne. L’attaquant a partagé une invitation Google Meet Invite sur Calendly, mais en cliquant, il a amené l’utilisateur à un faux site de zoom contrôlé par l’acteur de menace. Lorsque la réunion a commencé, l’employé a été accueilli par des contrefaçons profondes générées par l’IA, leur demandant d’installer une «extension de zoom» pour résoudre un problème de microphone.
Barr pense que les assaillants ont considérablement intensifié leur jeu, rendant la détection plus difficile que jamais. « Pendant des années, l’industrie s’est appuyée sur l’expression« les utilisateurs sont le lien le plus faible », mais dans des cas comme celui-ci, ce récit est à la fois obsolète et injuste», a-t-il déclaré. « Lorsque les attaquants tirent parti de l’IA pour imiter de manière convaincante les personnes réelles et que les applications semblent correctement signées et notariées, nous ne pouvons raisonnablement nous attendre à ce que même les utilisateurs bien formés passent le bon appel à chaque fois. »
Les groupes de menaces nord-coréens sont bien connus pour utiliser l’ingénierie sociale, tels que les demandeurs d’emploi pour avoir accès aux cibles. L’une de leurs campagnes les plus notables, «des entretiens contagieux», ont vu des attaquants (le groupe Kimsuky) comme recruteurs offrant de fausses entretiens d’embauche à des professionnels. Au cours de ces appels, ils ont partagé des fichiers de logiciels malveillants déguisés en évaluations, leur permettant de voler des informations d’identification et d’établir un accès à long terme.
« Nous attribuons à une grande confiance que cette intrusion a été menée par le sous-groupe nord-coréen (RPRC) suivi comme TA444 alias Bluenoroff, un acteur de menace parrainé par l’État connu pour avoir ciblé les crypto-monnaies remontées à au moins 2017 », ont déclaré des chercheurs de Huntress.
La campagne offre des logiciels malveillants modulaires, persistants et spécifiques au mac
Huntress a récupéré un total de huit binaires malveillants distincts, chacun avec des tâches spécifiques. L’implant principal, «Telegram 2», a été écrit dans NIM et s’est incorporé en tant que macOS Launchdaemon pour maintenir la persistance. Il a agi comme un lancement pour les vrais outils électriques, notamment la porte dérobée «Root Troy V4» et «Cryptobot» basée sur GO, un voleur de cryptographie dédié qui a chassé les données de portefeuille sur 20+ plugins Web3.
Le point culminant de l’attaque, cependant, est «InjectwithdyId», un chargeur C ++ capable d’injection de processus sur MacOS, une zone rarement violée à cette profondeur, ont ajouté des chercheurs. Il a déchiffré les charges utiles intégrées à l’aide d’AES-CFB et les a injectées dans des applications bénignes comme «l’application de base» basée sur Swift. De plus, pour éviter la détection des utilisateurs, il a enveloppé des commandes dans l’affichage des vérifications du sommeil, en exécutant uniquement lorsque l’écran était éteint.
Les autres charges utiles importantes comprenaient Xscreen, un Keylogger avec des capacités de capture d’écran et de presse-papiers, et Netchk, un binaire de leurre qui exécutait des boucles infinies pour boucher la liste de processus du système. Chaque implant a été signé et déguisé juste assez pour exfiltrer tranquillement les données pour faux zoom, métamasque et serveurs C2 sur le thème crypto.
Pour rester en avance sur la menace, Barr a recommandé de se pencher sur les capacités techniques existantes telles que les plates-formes MDM qui appliquent le moins de privilèges et empêchent l’accès local à l’administrateur ou les installations non approuvées, et les solutions EDR qui offrent une visibilité en temps réel dans l’activité de terminaison et l’alerte avec un comportement suspect.
« Les défenses en couches qui combinent la formation des utilisateurs avec de solides contrôles de point final, l’application des politiques et l’analyse comportementale ne sont pas facultatifs – ils sont essentiels », a-t-il déclaré.
