Se ha observado que el actor de amenaza encuadrado por Corea del Septentrión conocido como Bluenoroff dirigido a un empleado en el sector Web3 con llamadas de teleobjetivo engañosas con ejecutivos de compañía profundamente desarmados para engañarlos para instalar malware en sus dispositivos Apple Macos.
Huntress, que reveló detalles de la intrusión cibernética, dijo que el ataque se dirigió a un empleado de la Fundación de Criptomonedas sin nombre, que recibió un mensaje de un contacto extranjero en Telegram.
“El mensaje solicitó tiempo para charlar con el empleado, y el atacante envió un enlace calendamente para establecer el tiempo de reunión”, dijeron los investigadores de seguridad Alden Schmidt, Stuart Ashenbrenner y Jonathan Semon. “El enlace calendamente fue para un evento de Google Meet, pero cuando se hace clic, la URL redirige al favorecido final a un dominio de teleobjetivo apócrifo controlado por el actor de amenazas”.
Posteriormente de varias semanas, se dice que el empleado se unió a una reunión grupal de teleobjetivo que incluyó varios profundos de miembros conocidos de los liderazgo de su empresa, inmediato con otros contactos externos.
Sin confiscación, cuando el empleado dijo que no podía usar su micrófono, los personajes sintéticos los instaron a descargar e instalar una extensión de teleobjetivo para chocar el supuesto problema. El enlace a la extensión, compartido a través de Telegram, descargó un AppleScript que se llamaba “Zoom_Sdk_Support.Scpt”.
Este AppleScript primero abre una página web legítima para el Kit de avance de software Teleobjetivo (SDK), pero asimismo está configurado para descargar sigilosamente una carga útil de la próxima etapa desde un servidor remoto (“Soporte (.) US05WEB-Teleobjetivo (.) Biz”) y ejecuta un script de shell.
El script comienza deshabilitando el registro del historial bash y luego verifica si Rosetta 2 está instalada en la Mac comprometida, y si no, lo instala. Rosetta es un software que permite a Macs que ejecutan Apple Silicon para ejecutar aplicaciones que se construyeron para una Mac con un procesador Intel (x86_64).
El script luego procede a crear un archivo oculto llamado “.pwd”, y descarga un binario desde la página web de teleobjetivo maliciosa (“Web071zoom (.lus/fix/audio-fv/7217417464”) al directorio “/tmp/icloud_helper”. Igualmente realiza otra solicitud a la solicitud a la solicitud a “Web071Zoom (.) US/Fix/Audio-TR/7217417464” para obtener otra carga útil no especificada.
El script de shell asimismo solicita al favorecido que proporcione la contraseña de su sistema y limpie el historial de comandos ejecutados para evitar dejar un sendero forense. Huntress dijo que su investigación condujo al descubrimiento de ocho binarios maliciosos distintos en el hospedador de la víctima –
- Telegrama 2un binario basado en NIM responsable de comenzar la puerta trasera principal
- Root Troy V4una puerta trasera GO totalmente realizada que se usa para ejecutar cargas efectos de AppleScript remotas, comandos de shell y descargar malware adicional y ejecutarlos
- Inyectwithdyldun cargador binario C ++ descargado por Root Troy V4, que, a su vez, deja dos cargas efectos más: A Aplicación benigna Swift Para proveer la inyección de proceso y una diferente Implante de NIM que permite al cirujano emitir comandos y tomar respuestas de forma asincrónica
- Pantalla Xun Keylogger de Objective-C con características para monitorear las pulsaciones de teclas de la víctima, el portapapeles y la pantalla, y dirigir la información a un servidor de comando y control (C2)
- Criptobotun robador de información basado en GO que puede compilar archivos relacionados con la criptomonedas del host
- Netchkun binario casi hueco que está diseñado para originar números aleatorios para siempre
Bluenoroff, asimismo rastreado bajo los nombres de Piscis Alejusing, APT38, Black Alicanto, Copernicium, Nickel Gladstone, Stardust Chollima y TA444, es un subgrupo adentro del Montón de Lazarus que tiene una historia de instituciones financieras impresionantes, empresas de criptocurrías y cajeros automáticos para obtener ganancias monetarias y originar la Vivientes para la República de la Pueblo Demócrata de la República de Cororeea (DPRK).
El agrupación es mejor conocido por orquestar una serie de atracones de criptomonedas conocidos como comerciante para atacar a los empleados de organizaciones dedicadas a la investigación de blockchain con aplicaciones de comercio de criptomonedas maliciosas. Algunos de los casos significativos incluyen los hacks de Bybit en febrero de 2025 y Axie Infinity en marzo de 2022.
“Los trabajadores remotos, especialmente en áreas de trabajo de stop peligro, son a menudo los objetivos ideales para grupos como TA444”, dijo Huntress. “Es importante capacitar a los empleados para identificar ataques comunes que comienzan con la ingeniería social relacionada con el software de reuniones remotas”.
According to DTEX’s latest assessment of North Korea’s cyber structure, the APT38 mission likely no longer exists and has fractured into TraderTraitor (aka Jade Sleet and UNC4899) and CryptoCore (aka CageyChameleon, CryptoMimic, DangerousPassword, LeeryTurtle, and Sapphire Sleet), with the new clusters becoming the new faces of financial theft for the regime.
“El comerciante es posiblemente el más prolífico de cualquiera de los grupos APT de la RPDC cuando se tráfico de robo de criptomonedas y parece acaecer alojado el decano talento del esfuerzo diferente de APT38”, dijo Dtex. “Cryptocore ha estado activo desde al menos 2018, probablemente separándose de APT38 con el comerciante”.
Adicionalmente, el uso de señuelos con temas de problemas de audio para engañar a las posibles víctimas para que comprometan sus propias máquinas con malware tiene sus ecos en una transformación de otra campaña vinculada a Corea del Septentrión doblada contagiosa entrevista, lo que implica el uso de alertas de estilo ClickFix para entregar otro malware llamado Golangghost.
La nueva iteración, denominada entrevista de ClickFake, excursión en torno a crear anuncios de empleo falsos y engañar a los solicitantes de empleo para que copiaran y ejecutar un comando astuto con el pretexto de chocar un problema con la cámara de ataque y el micrófono en un sitio web apócrifo creado por los actores de amenazas para completar su evaluación de contratación.
Desde entonces, estos ataques multiplataforma, según Cisco Talos, han evolucionado aún más, empleando una interpretación de Python de Golangghost que ha sido afamado Pylangghost. Los sitios de evaluación falsos se hacen sobrevenir por entidades financieras admisiblemente conocidas como Archbblock, Coinbase, Robinhood y UNISWAP, y se ha contrario que se dirigen a un pequeño conjunto de usuarios principalmente ubicados en la India.
“En las recientes campañas, el afamado actor de amenaza Chollima, potencialmente compuesto por múltiples grupos, ha estado utilizando una interpretación basada en Python de sus troyanos para apuntar a los sistemas de Windows, mientras continúa desplegando una interpretación basada en Golang para los usuarios de MacOS”, dijo la investigadora de seguridad Vanja Svajcer. “Los usuarios de Linux no están atacados en estas últimas campañas”.
Pylangghost, como su contraparte de Golang, establece el contacto con un servidor C2 para tomar comandos que permiten a los atacantes controlar de forma remota la máquina infectada, descargar/cargar archivos, así como robar cookies y credenciales de más de 80 extensiones de navegador, incluidas las contraseñas y las billeteras de criptomonedas.
“No está claro (…) por qué los actores de amenaza decidieron crear dos variantes usando un lengua de programación diferente, o que se creó primero”, comentó Talos. “La estructura, las convenciones de nombres y los nombres de funciones son muy similares, lo que indica que los desarrolladores de las diferentes versiones trabajaron estrechamente juntos o son la misma persona”.
