O grupo de hackers norte-coreano BlueNoroff está utilizando deepfakes de executivos de empresas durante chamadas na Zoom para enganar funcionários a instalar custom malware em seus dispositivos macOS.
BlueNoroff (conhecido também como Sapphire Sleet ou TA444) é um grupo norte-coreano de ameaça persistente avançada (APT) conhecido por conduzir ataques de roubo de criptomoedas usando malware para Windows e Mac.
Pesquisadores da Huntress descobriram um novo ataque do BlueNoroff em 11 de junho de 2025, quando foram chamados para investigar uma potencial intrusão na rede de um parceiro.
Como em ataques anteriores, o objetivo primário era provavelmente o roubo de criptomoedas, o que está alinhado com outros relatórios recentes sobre os atores dessa ameaça de organizações como SentinelLabs, Microsoft, Jamf e Kaspersky.
O alvo, um empregado de uma firma de tecnologia, foi contatado pelos atacantes no Telegram, que se passavam por profissionais externos solicitando uma reunião.
O atacante enviou uma mensagem contendo um link do Calendly para o que parecia ser uma sessão no Google Meet, mas o link do convite na verdade era um domínio fake da Zoom controlado pelos atacantes.
Essa tática é semelhante a uma campanha descoberta pela Trail of Bits em abril, atribuída ao cluster de atividades norte-coreano 'Elusive Comet.'
Quando o empregado participou da reunião, que na realidade era uma chamada na Zoom, incluía vídeos deepfake de líderes seniores reconhecíveis da empresa do empregado e vários participantes externos para adicionar credibilidade.
Durante a reunião, a vítima encontrou problemas com seu microfone, que não funcionava, aparentemente por problemas técnicos.
Os deepfakes aconselharam a vítima a baixar uma suposta extensão do Zoom para corrigir o problema.
O link fornecido via Telegram levou a vítima a fazer o download de um arquivo AppleScript (zoom_sdk_support.scpt).
Após a execução, o arquivo abre uma página legítima do SDK da Zoom, mas após analisar 10.500 linhas em branco, executa um comando malicioso que baixa um payload secundário de uma fonte externa (https[://]support[.]us05webzoom[.]biz) e a executa.
Quando a Huntress foi chamada para investigar, o payload final já havia sido retirada do domínio controlado pelo atacante.
No entanto, eles conseguiram encontrar uma versão no VirusTotal que forneceu algumas percepções.
"O script começa desabilitando o registro do histórico do bash e então verifica se o Rosetta 2, que permite que Macs com Apple Silicon rodem binários x86_64, está instalado," explica o relatório da Huntress.
Caso não esteja, ele o instala silenciosamente para garantir que payloads x86_64 possam rodar.
Em seguida, cria um arquivo chamado .pwd, que fica oculto para a visão do usuário devido ao ponto que o precede, e baixa o payload malicioso da página fake da Zoom para /tmp/icloud_helper.
No geral, os pesquisadores encontraram oito binários maliciosos distintos no host comprometido neste ataque.
Excluindo ferramentas menores usadas na injeção de processo e descriptografia de implante, o malware para Mac usado na campanha inclui:
- Telegram 2 – Um implante de persistência baseado em Nim disfarçado como um atualizador legítimo do Telegram.
Ele é executado em uma agenda e atua como o ponto de entrada para o resto da cadeia de malware.
O binário é assinado com um certificado de desenvolvedor válido do Telegram, ajudando-o a evitar escrutínio e permanecer não detectado.
- Root Troy V4 – Backdoor baseado em Go que habilita execução remota de código, enfileiramento de comandos durante estados de repouso e download de payloads adicionais.
Serve como o controlador central para operações pós-infecção e mantém a configuração e o estado do malware.
- a (InjectWithDyld) – Um carregador de segunda fase que descriptografa implantes encriptados usando uma chave AES derivada de senha e os injeta na memória.
Utiliza APIs específicas do macOS para injeção de processo e inclui funcionalidade antiforense para eliminar vestígios de si mesmo após o uso.
- XScreen (keyboardd) – Componente de vigilância que registra teclas digitadas, grava a tela e monitora a área de transferência.
Opera continuamente em segundo plano e envia dados coletados para um servidor de comando e controle.
- CryptoBot (airmond) – Infostealer focado em criptomoedas escrito em Go.
Ele visa mais de 20 plataformas de carteiras, extraindo dados sensíveis e armazenando-os em um cache local criptografado para exfiltração.
A intrusão descoberta pela Huntress reflete a crescente sofisticação do BlueNoroff, que agora aproveita AI deepfakes para engenharia social e custom malware para macOS.
A Huntress alerta que muitos usuários de Mac foram levados a pensar que são menos propensos a serem alvo de malware.
No entanto, à medida que o macOS ganha adoção mais ampla no ambiente empresarial, atores de ameaças desenvolvem cada vez mais malware que visa o sistema operacional.
Campanhas recentes, que vão desde infostealers e drainers generalizados visando o roubo de cripto até ataques avançados e direcionados a organizações como este, deixam claro que os usuários de macOS precisam estar melhor preparados e protegidos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...