La campagne a utilisé un compte Telegram compromis, une fausse réunion Zoom et une tromperie assistée par l’IA pour inciter les victimes à exécuter des commandes de terminal menant à une chaîne d’infection macOS.
Un acteur malveillant motivé par des raisons financières, suivi sous le nom d’UNC1609, utilise une campagne d’ingénierie sociale de type ClickFix pour déployer plusieurs familles de logiciels malveillants macOS contre des organisations axées sur la cryptographie.
Selon une nouvelle recherche de Mandiant de Google Cloud, l’activité a récemment ciblé un employé d’une entreprise opérant dans le secteur de la crypto-monnaie et de la finance décentralisée (DeFi). Les chercheurs ont déclaré que l’UNC1069, lié à la Corée du Nord, avait utilisé une chaîne d’ingénierie sociale impliquant un compte Telegram piraté, une fausse réunion Zoom, une exécution de commande de type ClickFix et l’utilisation signalée d’une vidéo générée par l’IA pour tromper la victime.
En se faisant passer pour un contact connu de l’industrie et en organisant une fausse réunion vidéo, l’acteur malveillant a convaincu la victime d’exécuter manuellement des commandes de terminal malveillantes sur un système macOS.
ClickFix comme accès initial
L’attaque a commencé lorsque la victime a été contactée via Telegram à partir d’un compte compromis appartenant à un dirigeant légitime du secteur. Après avoir établi sa crédibilité, l’attaquant a invité la cible à une visioconférence hébergée sur une infrastructure contrôlée par l’acteur menaçant.
Au cours de la réunion, la victime aurait vu ce qui semblait être un individu reconnaissable du secteur des cryptomonnaies. Les chercheurs ont estimé que la vidéo pouvait avoir été générée artificiellement ou manipulée pour renforcer la légitimité. Peu de temps après le début de l’appel, l’attaquant a affirmé qu’il y avait des problèmes audio et a demandé à la victime d’effectuer des étapes de dépannage.
Ces étapes comprenaient le copier-coller de commandes dans le terminal macOS. Une commande utilisait « curl » redirigé vers « zsh », téléchargeant et exécutant efficacement un script distant. Cette action a déclenché la chaîne d’infection.
Mandiant a déclaré avoir observé des tactiques similaires en dehors de cette attaque. « La page Web récupérée fournissait deux ensembles de commandes à exécuter pour le « dépannage » : un pour les systèmes macOS et un pour les systèmes Windows », ont noté les chercheurs. « Mandiant a observé que l’UNC1069 employait ces techniques pour cibler à la fois les entreprises et les particuliers du secteur des cryptomonnaies, y compris les sociétés de logiciels et leurs développeurs, ainsi que les sociétés de capital-risque et leurs employés ou dirigeants. »
L’UNC1069 est connu pour utiliser des outils tels que Google Gemini pour développer des outils, mener des recherches opérationnelles et assister lors des étapes de reconnaissance, ont-ils ajouté.
Utilisation de logiciels malveillants macOS spécialisés et non documentés
Une fois l’accès déclenché par ClickFix établi, UNC1069 a déployé une pile de logiciels malveillants macOS en plusieurs étapes que Mandiant a identifiée comme incluant WAVESHAPER, HYPERCALL, HIDDENCALL, DEEPBREATH et CHROMEPUSH, entre autres. Plusieurs de ces familles de logiciels malveillants n’avaient pas été documentées publiquement avant la divulgation de Mandiant.
WAVESHAPER a fonctionné comme la porte dérobée principale, établissant un accès à distance et permettant la livraison de charges utiles supplémentaires. HYPERCALL fonctionnait comme un téléchargeur, récupérant des composants secondaires tels que HIDDENCALL, qui offraient des capacités supplémentaires d’exécution de commandes. Ce déploiement par étapes a permis à l’acteur malveillant d’étendre progressivement son contrôle sur le système macOS compromis plutôt que de supprimer une seule charge utile importante.
DEEPBREATH, un infostealer basé sur Swift, axé sur la collecte de données sensibles auprès de l’hôte. Selon les chercheurs, il a manipulé le cadre de transparence, de consentement et de contrôle (TCC) d’Apple pour accéder aux ressources protégées sans en informer l’utilisateur. Cela a permis la collecte de données de navigateur, de matériel de trousseau et de contenu de messagerie. CHROMEPUSH, quant à lui, cible les environnements de navigateur, notamment les cookies de session et les jetons d’authentification.
Les chercheurs ont également observé des abus des mécanismes de sécurité de macOS, notamment des fonctionnalités du système XProtect d’Apple. Au lieu de désactiver immédiatement les protections, le logiciel malveillant a exploité des composants système fiables et des comportements attendus pour réduire la visibilité de la détection.
Mandiant a déclaré que l’utilisation d’une suite d’outils personnalisés et intégrés indiquait la maîtrise technique de l’UNC1069 en matière de capacités spécialisées et de contournement de sécurité. Il a fourni une liste d’indicateurs de compromission (IOC) basés sur le réseau et sur l’hôte pour soutenir les efforts de détection. De plus, la divulgation comprenait un ensemble de règles YARA qui sont également prises en charge dans Google SecOps.
