Hackers da Coreia do Norte estão conduzindo campanhas personalizadas que combinam vídeos gerados por inteligência artificial (IA) e a técnica ClickFix para distribuir malware direcionado a macOS e Windows, com foco no setor de criptomoedas.
O objetivo do grupo é financeiro, conforme indica o conjunto de ferramentas usado em um ataque contra uma fintech, investigado por pesquisadores da Mandiant, divisão da Google.
Durante a resposta ao incidente, os pesquisadores identificaram sete famílias distintas de malware para macOS e atribuíram a ofensiva ao grupo UNC1069, monitorado desde 2018.
O ataque contou com intensa engenharia social: a vítima foi contatada via Telegram por meio de uma conta comprometida de um executivo de uma empresa de criptomoedas.
Após estabelecer uma relação de confiança, os hackers enviaram um link do Calendly que direcionava a uma página falsa de reunião no Zoom, hospedada na infraestrutura dos invasores.
Segundo a vítima, os hackers exibiram um vídeo deepfake do CEO de outra empresa do setor.
“Durante a ‘reunião’, a chamada de vídeo falsa simulava problemas de áudio para a vítima”, explicam os pesquisadores da Mandiant.
Com essa justificativa, o invasor orientou a vítima a resolver os supostos problemas por meio de comandos disponíveis em uma página web.
Nela, havia instruções para ambos os sistemas, Windows e macOS, capazes de iniciar a cadeia de infecção.
Pesquisadores da Huntress descreveram método semelhante em meados de 2023, atribuindo-o ao grupo BlueNoroff — também norte-coreano, conhecido como Sapphire Sleet e TA44 — que atacava sistemas macOS com outro conjunto de payloads.
Os analistas da Mandiant detectaram a execução de AppleScript logo no início da infecção, mas não recuperaram o conteúdo desse payload.
Em seguida, foi implantado um binário malicioso Mach-O que iniciou a execução de sete famílias distintas de malware:
- **WAVESHAPER**: backdoor em C++ que opera em segundo plano, coleta informações do sistema, comunica-se com o comando e controle (C2) via HTTP/HTTPS usando curl, e baixa novos payloads.
- **HYPERCALL**: downloader escrito em Golang que lê um arquivo de configuração criptografado por RC4, conecta-se ao C2 via WebSockets na porta TCP 443, baixa bibliotecas dinâmicas maliciosas e as carrega na memória.
- **HIDDENCALL**: backdoor em Golang injetado pelo HYPERCALL, oferece controle manual do teclado, execução de comandos, operações em arquivos e implanta malware adicional.
- **SILENCELIFT**: backdoor minimalista em C/C++ que envia informações do host e o status da tela bloqueada para um servidor C2 fixo, podendo interromper comunicações no Telegram quando executado com privilégios root.
- **DEEPBREATH**: minerador de dados em Swift implantado via HIDDENCALL, que contorna as proteções TCC do macOS modificando seu banco de dados para obter amplo acesso ao sistema de arquivos, roubando credenciais do keychain, dados de navegador, Telegram e Apple Notes.
- **SUGARLOADER**: downloader em C++ que utiliza configuração criptografada por RC4 para recuperar payloads da próxima fase, persistindo no sistema por meio de um launch daemon criado manualmente.
- **CHROMEPUSH**: minerador de dados para navegadores em C++ implantado pelo SUGARLOADER.
Ele se instala como um host nativo de mensagens do Chromium disfarçado de extensão Google Docs Offline, coletando teclas digitadas, credenciais, cookies e capturas de tela.
Entre esses malwares, o SUGARLOADER é o mais detectado na plataforma VirusTotal, seguido pelo WAVESHAPER, que possui apenas duas product flags.
Os demais não constam no banco de dados da plataforma.
A Mandiant destaca que SILENCELIFT, DEEPBREATH e CHROMEPUSH representam uma nova geração de ferramentas desse ator.
Os pesquisadores ressaltam como incomum o volume de malware implantado em um único host e direcionado a um indivíduo específico.
Isso confirma um ataque altamente direcionado, com o objetivo de coletar o máximo possível de informações para duas finalidades principais: roubo de criptomoedas e potencializar futuras campanhas de engenharia social usando a identidade e dados da vítima.
Desde 2018, o grupo UNC1069 demonstra capacidade de adaptação, adotando novas táticas e ferramentas.
Em 2023, os ataques se concentraram na indústria Web3, incluindo exchanges centralizadas, desenvolvedores e fundos de venture capital.
No ano passado, o foco mudou para serviços financeiros e o setor de criptomoedas, abrangendo áreas como pagamentos, corretoras e infraestrutura de carteiras digitais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...