Se ha observado que un actor de amenazas relacionado con Corea del Norte conocido como UNC1069 apunta al sector de las criptomonedas para robar datos confidenciales de los sistemas Windows y macOS, con el objetivo final de facilitar el robo financiero.
Los investigadores de Google Mandiant, Ross Inman y Adrian Hernandez, dijeron: «Esta intrusión se basó en esquemas de ingeniería social que incluían cuentas de Telegram comprometidas, reuniones falsas de Zoom, vectores de infección ClickFix y, según se informa, utilizaron videos generados por IA para engañar a las víctimas».
Se cree que UNC1069 ha estado activo desde al menos abril de 2018 y tiene un historial de realizar campañas de ingeniería social para obtener ganancias financieras mediante el uso de invitaciones a reuniones falsas y haciéndose pasar por inversores en empresas de renombre en Telegram. También es rastreado por la comunidad de ciberseguridad en general bajo los nombres CryptoCore y MASAN.
En un informe publicado en noviembre pasado, Google Threat Intelligence Group (GTIG) señaló que los actores de amenazas están utilizando herramientas de inteligencia artificial (IA) generativa como Gemini para crear materiales señuelo y otros mensajes relacionados con las criptomonedas como parte de los esfuerzos para apoyar campañas de ingeniería social.
También se ha observado que el grupo intenta explotar Gemmini para desarrollar código para robar criptomonedas y utilizar imágenes y videos falsos que imitan a individuos en la industria de las criptomonedas en una campaña para distribuir una puerta trasera llamada BIGMACHO disfrazada de un kit de desarrollo de software (SDK) de Zoom a las víctimas.
«Desde al menos 2023, este grupo se ha dirigido a las industrias Web3, desde técnicas de phishing y finanzas tradicionales (TradFi) hasta intercambios centralizados (CEX), desarrolladores de software en instituciones financieras, empresas de alta tecnología e individuos en fondos de capital de riesgo», dijo Google.
En la última intrusión documentada por la división de inteligencia de amenazas del gigante tecnológico, se dice que UNC1069 introdujo hasta siete familias de malware únicas, incluidas varias familias de malware nuevas como SILENCELIFT, DEEPBREATH y CHROMEPUSH.
Todo comienza cuando un actor de amenazas se acerca a una víctima a través de Telegram, haciéndose pasar por un capitalista de riesgo y, a veces, utilizando una cuenta comprometida de un emprendedor legítimo o fundador de una startup. Una vez que se establece el contacto, el atacante utiliza Calendly para programar una reunión de 30 minutos.
El enlace de la reunión está diseñado para redirigir a las víctimas a un sitio web falso (“zoom.uswe05(.)us”) disfrazado de Zoom. En algunos casos, los enlaces de las reuniones se comparten directamente a través de mensajes de Telegram, a menudo utilizando la función de hipervínculo de Telegram para ocultar las URL de phishing.
Independientemente del método utilizado, tan pronto como la víctima hace clic en el enlace, aparece una interfaz de videollamada falsa similar a Zoom que le solicita que habilite su cámara e ingrese su nombre. Una vez que el objetivo se una a la reunión, verá una pantalla similar a una reunión de Zoom real.
Sin embargo, se sospecha que el vídeo es un deepfake o una grabación real tomada en secreto de otras víctimas que han sido víctimas del mismo esquema anteriormente. Vale la pena señalar que Kaspersky está rastreando la misma campaña bajo el nombre GhostCall. Esto se documentará en detalle en octubre de 2025.
«Las imágenes de la cámara web fueron grabadas sin saberlo, cargadas en una infraestructura controlada por el atacante y reutilizadas para engañar a otras víctimas haciéndoles creer que estaban participando en una llamada en vivo genuina», señaló el proveedor de seguridad ruso en ese momento. «Una vez que el video terminó de reproducirse, la página pasó sin problemas a mostrar la imagen de perfil de ese usuario, manteniendo la ilusión de una llamada en vivo».
El ataque avanza a la siguiente fase, donde a la víctima se le muestra un mensaje de error falso que pretende ser un problema de audio y luego se le pide que descargue y ejecute comandos de solución de problemas estilo ClickFix para solucionar el problema. En macOS, el comando entrega un AppleScript y coloca un binario Mach-O malicioso en el sistema.
Un ejecutable malicioso de C++ llamado WAVESHAPER está diseñado para recopilar información del sistema y distribuir un descargador basado en Go con nombre en código HYPERCALL, que luego se utiliza para entregar cargas útiles adicionales.
Un componente posterior de puerta trasera de Golang conocido como HIDDENCALL. Proporciona acceso práctico mediante teclado a sistemas comprometidos e implementa un minero de datos basado en Swift llamado DEEPBREATH. Se utiliza un segundo descargador de C++ llamado SUGARLOADER para implementar CHROMEPUSH. Una puerta trasera C/C++ mínima llamada SILENCELIFT. Envía información del sistema a un servidor de comando y control (C2).
DEEPBREATH tiene la capacidad de manipular la base de datos de Transparencia, Consentimiento y Control (TCC) de macOS para obtener acceso al sistema de archivos, lo que le permite robar credenciales y datos de iCloud Keychain de las aplicaciones Google Chrome, Brave, Microsoft Edge, Telegram y Apple Notes.
Al igual que DEEPBREATH, CHROMEPUSH también funciona como un ladrón de datos, excepto que está escrito en C++ y se implementa como una extensión de navegador para Google Chrome y Brave bajo la apariencia de una herramienta para editar Google Docs sin conexión. También tiene la capacidad de registrar pulsaciones de teclas, monitorear entradas de nombre de usuario y contraseña y extraer cookies del navegador.
«La cantidad de herramientas implementadas en un solo host indica un esfuerzo muy decidido para recolectar credenciales, datos del navegador y tokens de sesión para facilitar el robo financiero», dijo Mandiant. «Si bien UNC1069 generalmente apunta a empresas emergentes de criptomonedas, desarrolladores de software y firmas de capital de riesgo, la implementación de múltiples nuevas familias de malware junto con el conocido descargador SUGARLOADER indica una expansión significativa de sus capacidades».
Source link
