Se ha observado que el actor de amenaza de Corea del Norte conocido como Bluenoroff dirige a los empleados en el sector Web3, que muestra una llamada de zoom que ha sido magnificada por los ejecutivos de la compañía profundos para instalar malware en dispositivos Apple MacOS.
Huntress, quien reveló detalles de la intrusión cibernética, dijo que el ataque atacó a un empleado de la Fundación de Criptomonedas sin nombre.
«El mensaje pidió tiempo para hablar con los empleados, y los atacantes enviaron enlaces de calendario-Leigh a establecer los horarios de las reuniones», dijeron los investigadores de seguridad Alden Schmidt, Stuart Ashenbrenbrenner y Jonathan Semon. «El enlace Calendly fue para los eventos de Google Refle, pero cuando hace clic, la URL redirige al usuario final a un dominio de zoom falso controlado por el actor de amenazas».
Unas semanas más tarde, según los informes, el empleado asistía a una reunión de zoom grupal, junto con otros contactos externos, que incluyeron varios profundos de miembros conocidos de los liderazgo de la compañía.
Sin embargo, cuando los empleados dijeron que no podían usar el micrófono, la persona sintética los instó a descargar e instalar la extensión de zoom para abordar los problemas esperados. Un enlace a la extensión compartida a través de Telegram ha descargado un AppleScript llamado «Zoom_sdk_support.scpt».
Este AppleScript primero abre una página web legítima en el Kit de desarrollo de software Zoom (SDK), pero está configurado para descargar sigilosamente la siguiente carga útil de la etapa del servidor remoto («Soporte (.) US05WEB-Zoom (.) Biz») y ejecuta el script de shell.
El script comienza deshabilitando el registro para el historial de bash, verificando si Rosetta 2 se instala en una Mac comprometida y, si no, instálelo. Rosetta es un software que permite que las MAC que ejecutan Apple Silicon ejecutan aplicaciones creadas para Mac con procesadores Intel (x86_64).
El script luego crea un archivo oculto llamado «.pwd» y descarga el binario de la página web de zoom malicioso («Web071Zoom (.lus/fix/audio-FV/7217417464»). «Web071Zoom (.) US/Fix/Audio-TR/7217417464» para obtener otra carga no especificada.
El script de shell también le solicita al usuario que proporcione una contraseña del sistema, limpie el historial de comandos ejecutados y evita que abandone el sendero forense. Huntress dijo que la investigación descubrió ocho binarios maliciosos diferentes contra el anfitrión de la víctima.
Telegram 2, un binario basado en NIM responsable de lanzar la puerta trasera primaria Troy V4, una carga útil para AppleScript remoto, descargar comandos de shell, ejecutar malware adicional, soltar las aplicaciones GO de AR GO totalmente funcionales y Benign Swift a su vez, que se utilizan para ejecutar el cargador binario C ++ descargado por Root Troy V4. El operador puede emitir comandos y permitir que XScreen se use de manera asincrónica. Es un Keylogger Objective-C, un Keylogger de Target C con la capacidad de monitorear las pulsaciones de teclas, el portapapeles y la pantalla de la víctima, enviando información al comando y el control (C2) CRYPTOBOT.
Bluenoroff es un subcluster dentro del Grupo Lazarus, rastreado bajo los nombres de Piscis encantadores, APT38, Black Alicanto, Copernicium, Nickel Gladstone, Stardust Chollima y Ta444, y tiene una historia de ATM para la clase ALS, el negocio de criptocurrencia y monuprat para los coreans.
El grupo es mejor conocido por coordinar una serie de robos de criptomonedas conocidos como TradRraitor para atacar a los empleados de organizaciones dedicadas a investigaciones blockchain utilizando aplicaciones de comercio de criptomonedas maliciosas. Los casos importantes incluyen el Bibit de piratería de febrero de 2025 y el Axie Infinity de marzo de 2022.
«Los trabajadores remotos, especialmente en el campo de alto riesgo, son a menudo los objetivos ideales para grupos como TA444», dijo Huntress. «Es importante capacitar a los empleados para identificar ataques comunes que comienzan con la ingeniería social relacionadas con el software de reuniones remotas».
Según la última evaluación de DTEX de la ciberestructura de Corea del Norte, la misión APT38 ya no existía, convirtiéndose en traidor de comerciante (también conocido como Jade Mizore y UNC4899) y Cryptocore (también conocido como Kegi Chameleon, Cryptomymic, Dangerous Password, Leritul y se convirtió en artesanos financieros.
«El comerciante es probablemente el más prolífico del Grupo DPRK APT cuando se trata de robo de criptomonedas y parece haber sido la persona más talentosa del esfuerzo original de APT38», dijo Dtex. «Cryptocore ha estado activo desde al menos 2018 y probablemente esté dividido del comerciante de APT38».
Además, el uso de señuelos temáticos de audio para futuras víctimas para infringir sus máquinas con malware se refleja en la evolución de otra campaña relacionada con Corea del Norte llamada entrevistas contagiosas para proporcionar otro malware llamado Golgghost utilizando alertas de estilo ClickFix.
Una nueva iteración llamada Entrevistas de ClickFake creará anuncios para trabajos falsos y los desarrollará para que los solicitantes de empleo copien y ejecuten comandos maliciosos con el pretexto de abordar los problemas de cámara de acceso y micrófonos en sitios web falsos establecidos para los actores de amenazas para completar las evaluaciones de empleo.
Según Cisco Talos, estos ataques multiplataforma han evolucionado aún más utilizando la versión Python de Golangghost, conocida como Pylangghost. Los sitios de calificación falsa están falsificando entidades financieras bien conocidas como Archblock, Coinbase, Robinhood, Uniswap y otras conocidas, y se sabe que se dirigen a pequeños conjuntos de usuarios, principalmente en la India.
«En campañas recientes, el famoso Cholima, un actor de amenaza que puede estar compuesto por múltiples grupos, está dirigiendo a los sistemas de Windows utilizando la versión de Trojan con sede en Python, pero continúa implementando versiones basadas en Golang para usuarios de MacOS». «Los usuarios de Linux no están atacados en estas últimas campañas».
Al igual que la contraparte de Golang, Pylangghost puede establecer contacto con un servidor C2, permitiendo a los atacantes controlar de forma remota la máquina infectada, descargar/cargar archivos y robar cookies y credenciales de más de 80 extensiones de navegador, incluidas las contraseñas y las billeteras de criptomonedas.
«No está claro por qué los actores de amenaza decidieron usar un lenguaje de programación diferente para crear dos variaciones, o por qué fueron creados originalmente», dijo Talos. «La estructura, las convenciones de nombres y los nombres de funciones son muy similares. Esto indica que diferentes versiones de desarrolladores trabajan en estrecha colaboración o son la misma persona».
Source link
