Всего три детали: Zoom, плохой микрофон и лицо начальника — и защита на macOS больше не актуальна

Хакерская группа BlueNoroff, связанная с КНДР, начала применять технологию дипфейков для подмены топ-менеджеров на видеозвонках в Zoom, убеждая сотрудников компаний установить вредоносное ПО на устройства с macOS. Эта новая тактика демонстрирует высокий уровень социальной инженерии, совмещённой с кастомизированной малварью, ориентированной на похищение криптовалюты.

Инцидент был выявлен 11 июня 2025 года специалистами Huntress. Основная цель атаки, как и в предыдущих кампаниях группы, заключалась в краже цифровых активов. Обнаруженные элементы атаки подтвердили выводы, ранее озвученные командами SentinelLabs , Microsoft , Jamf и Лабораторией Касперского , наблюдавшими за похожими операциями.

Жертвой стал сотрудник технологической компании, которому злоумышленники написали в Telegram, представившись внешними специалистами. Они пригласили его на встречу, отправив ссылку через сервис Calendly — по виду это было приглашение в Google Meet, но в реальности открывалась фальшивая страница Zoom, размещённая на домене, контролируемом атакующими. Этот приём напоминает методы другой северокорейской группы, известной как Elusive Comet .

На виртуальной встрече присутствовали дипфейковые изображения знакомых руководителей компании, что укрепило доверие жертвы. Под предлогом неисправности микрофона, которая возникла у сотрудника во время видеозвонка, «руководители» предложили установить специальное расширение Zoom, якобы устраняющее технические неполадки. Ссылка для загрузки была отправлена через Telegram и вела к скрипту AppleScript с названием zoom_sdk_support.scpt.

При запуске файл открывал настоящую страницу SDK Zoom, но перед этим обрабатывал 10 500 пустых строк, после чего активировал вредоносную команду, загружающую вторичный компонент с поддельного домена (support.us05webzoom.biz). На момент анализа основное вредоносное содержимое уже было удалено с сервера атакующих, однако его образец всё же был найден на VirusTotal, что позволило исследователям изучить функционал.

Скрипт отключал историю команд bash, проверял наличие Rosetta 2 — компонента, позволяющего запускать x86_64-код на новых чипах Apple, и при необходимости устанавливал его без уведомлений. Далее создавался скрытый файл .pwd и происходила загрузка вредоносного компонента в папку /tmp под видом icloud_helper.

В процессе расследования Huntress обнаружила восемь различных вредоносных бинарников на заражённом Mac. Основные элементы атаки включали:

• Telegram 2 — имплант на языке Nim, замаскированный под обновление Telegram. Работает по расписанию, поддерживая устойчивость и выполняя первичную загрузку остальных компонентов. Программа подписана настоящим сертификатом разработчика Telegram, что позволяет ей избегать подозрений.

• Root Troy V4 — бэкдор на Go, обеспечивающий удалённое выполнение команд, загрузку дополнительных компонентов и управление системой после заражения. Он сохраняет конфигурации и состояние всей вредоносной инфраструктуры.

• a (InjectWithDyld) — загрузчик второго уровня, расшифровывающий импланты и внедряющий их в память. Использует macOS API для внедрения в процессы и удаляет свои следы после выполнения.

• XScreen (keyboardd) — компонент слежки, записывающий нажатия клавиш, экран и буфер обмена, передавая данные на управляющий сервер.

• CryptoBot (airmond) — инфостилер, нацеленный на более чем 20 криптокошельков. Извлекает чувствительные данные и сохраняет их в локальный зашифрованный кэш для последующей отправки злоумышленникам.

Иинцидент подчёркивает растущую технологическую изощрённость BlueNoroff, которая теперь активно использует возможности ИИ для манипуляций и специально разработанную малварь для macOS. По словам Huntress, многие пользователи Mac ошибочно полагают, что такие устройства менее подвержены заражениям. Однако с ростом популярности macOS в корпоративной среде хакеры всё чаще адаптируют под неё свои инструменты. Атаки нацелены не только на массовый сбор криптовалюты, но и на точечное проникновение в инфраструктуру компаний, что требует нового уровня осведомлённости и защиты от пользователей.