Η BlueNoroff διανέμει MacOS malware μέσω deepfake βίντεο σε Zoom meetings
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η BlueNoroff διανέμει MacOS malware μέσω deepfake βίντεο σε Zoom meetings
https://www.secnews.gr/651427/bluenoroff-dianemei-macos-malware-meso-deepfake-video-se-zoom-meetings/
Jun 19th 2025, 11:24
by Digital Fortress
Οι Βορειοκορεάτες hackers BlueNoroff (γνωστοί και ως Sapphire Sleet ή TA444) ανεβάζουν το επίπεδο των κυβερνοεπιθέσεών τους, με τη χρήση deepfake βίντεο μέσω Zoom, στοχεύοντας υπαλλήλους εταιρειών για την εγκατάσταση MacOS malware στις συσκευές τους.
Η νέα εκστρατεία, που αποκαλύφθηκε από την ερευνητική ομάδα της Huntress στις 11 Ιουνίου 2025, αποδεικνύει ότι η BlueNoroff εξελίσσει συνεχώς τις μεθόδους της για να παρακάμπτει τα φίλτρα ασφαλείας και να διεισδύει σε εταιρικά περιβάλλοντα. Οι επιθέσεις έχουν πιθανότατα στόχο τη κλοπή κρυπτονομισμάτων. Οι συγκεκριμένοι hackers έχουν συνδεθεί με πολλές επιθέσεις κλοπής crypto.
Δείτε επίσης: Fake εφαρμογές Ledger κλέβουν seed phrases χρηστών macOS
Επιθέσεις μέσω ψεύτικων Zoom meetings και deepfakes
Το σενάριο ξεκινά όταν οι εισβολείς, προσποιούμενοι εξωτερικούς συνεργάτες, προσεγγίζουν υπαλλήλους μέσω Telegram και τους καλούν σε συνάντηση μέσω ενός ψεύτικου link Calendly. Αν και η πρόσκληση φαίνεται να αφορά σε Google Meet, ανακατευθύνει τελικά σε ψεύτικο domain Zoom υπό τον έλεγχο των επιτιθέμενων.
Κατά τη διάρκεια της εικονικής συνάντησης, οι χρήστες εκτίθενται σε deepfake βίντεο, τα οποία αναπαριστούν υψηλόβαθμα στελέχη της εταιρείας τους και άλλους δήθεν συμμετέχοντες.
Στην περίπτωση που μελέτησαν οι ερευνητές, το θύμα αντιμετώπισε κάποια προβλήματα με το μικρόφωνό του, το οποίο δεν λειτουργούσε, προφανώς λόγω τεχνικών προβλημάτων. Οι επιτιθέμενοι συμβούλευσαν το θύμα να κατεβάσει μια υποτιθέμενη επέκταση Zoom που θα έλυνε το πρόβλημα (αλλά στην πραγματικότητα ξεκινούσε τη διαδικασία για τη διανομή του MacOS malware).
Ο σύνδεσμος, που παρέχεται μέσω Telegram, οδήγησε το θύμα να κατεβάσει ένα αρχείο AppleScript (zoom_sdk_support.scpt). Αυτό άνοιξε ένα νόμιμο Zoom SDK webpage. Ωστόσο, μετά από 10.500 κενές γραμμές, ενεργοποίησε κακόβουλο κώδικα που κατεβάζει ένα δευτερεύον payload από απομακρυσμένο domain και το εκτελεί.
Δείτε επίσης: Η Apple διορθώνει σοβαρά ελαττώματα ασφαλείας σε iOS και macOS
MacOS malware
Η Huntress ανακάλυψε ότι το κακόβουλο script:
• Απενεργοποιεί το bash history logging (για να αποφύγει την ανίχνευση).
• Ελέγχει αν υπάρχει εγκατεστημένο το Rosetta 2 (για να υποστηρίξει x86_64 binaries σε Apple Silicon Macs). Εάν δεν είναι, το εγκαθιστά κρυφά.
• Δημιουργεί ένα κρυφό αρχείο .pwd στο σύστημα, το οποίο δεν το βλέπει ο χρήστης
• Κατεβάζει το payload από την κακόβουλη, ψεύτικη σελίδα Zoom στο /tmp/icloud_helper.
Συνολικά, εντοπίστηκαν οκτώ ξεχωριστά κακόβουλα binaries στο παραβιασμένο σύστημα
Τα 8 MacOS malware που εντοπίστηκαν στην καμπάνια
Telegram 2
Ένα persistence implant, γραμμένο σε Nim, το οποίο παρουσιάζεται ως νόμιμη ενημέρωση του Telegram. Εκτελείται σε τακτά χρονικά διαστήματα και λειτουργεί ως πύλη για την υπόλοιπη αλυσίδα του κακόβουλου λογισμικού. Η υπογραφή του με έγκυρο Telegram developer certificate του εξασφαλίζει αυξημένη κάλυψη από τα συστήματα ασφαλείας.
Root Troy V4
Ένα Go-based backdoor, που επιτρέπει απομακρυσμένη εκτέλεση εντολών, command queuing ακόμα και κατά τη διάρκεια αναστολής λειτουργίας και εγκατάσταση πρόσθετων payloads. Χρησιμοποιείται ως κεντρικός ελεγκτής της μόλυνσης, διατηρώντας και συγχρονίζοντας τη συνολική διαμόρφωση του malware.
InjectWithDyld
Ένα second-stage loader, το οποίο αποκρυπτογραφεί encrypted implants και τα εισάγει στη μνήμη του συστήματος. Εκμεταλλεύεται macOS-specific APIs για process injection και διαγράφει τα ίχνη της δραστηριότητάς του μετά την εκτέλεση.
XScreen (keyboardd)
Ένα ισχυρό εργαλείο παρακολούθησης, που καταγράφει πληκτρολογήσεις, τραβά στιγμιότυπα οθόνης και ελέγχει περιεχόμενο από το πρόχειρο. Τρέχει αθόρυβα στο παρασκήνιο και στέλνει τα δεδομένα σε C2 servers.
CryptoBot (airmond)
Infostealer που κλέβει δεδομένα από crypto wallets. Αναγνωρίζει και επιτίθεται σε περισσότερες από 20 πλατφόρμες πορτοφολιών, εξάγοντας ευαίσθητα δεδομένα και αποθηκεύοντάς τα προσωρινά σε local encrypted cache.
Αυξανόμενη πολυπλοκότητα – Επικίνδυνος εφησυχασμός στο macOS
Η Huntress υπογραμμίζει ότι η επίθεση αποτελεί χαρακτηριστικό παράδειγμα της κλιμακούμενης πολυπλοκότητας των εκστρατειών της BlueNoroff. Η ομάδα πλέον εκμεταλλεύεται deepfakes και custom MacOS malware για να διαπεράσει εταιρικά συστήματα με macOS, ένα λειτουργικό που πολλοί εξακολουθούν να θεωρούν λιγότερο εκτεθειμένο.
Δείτε επίσης: Το Albabat ransomware στοχεύει τώρα Linux και macOS
Καθώς όμως η υιοθέτηση macOS σε επιχειρηματικά περιβάλλοντα αυξάνεται, οι APT ομάδες στρέφουν ολοένα και περισσότερο την προσοχή τους στην πλατφόρμα της Apple.
Τα Mac δεν είναι άτρωτα
Η επίθεση αυτή επιβεβαιώνει ότι οι χρήστες Mac δεν μπορούν να θεωρούνται εκτός κινδύνου. Οι καμπάνιες κακόβουλου λογισμικού για macOS έχουν πλέον διευρυνθεί σημαντικά, από απλές αποστολές κλοπής δεδομένων έως πολύπλοκες, στοχευμένες επιχειρήσεις κατασκοπείας που εστιάζουν σε κρυπτονομίσματα και ευαίσθητες επιχειρηματικές πληροφορίες.
Προστασία από macOS malware
Η Apple προσφέρει κάποιες ενσωματωμένες δυνατότητες ασφαλείας, όπως το Gatekeeper και το XProtect για την πρόληψη κάποιας μόλυνσης.
Αλλά υπάρχουν και κάποιες άλλες μέθοδοι προστασίας:
• Διατηρήστε το λειτουργικό σας σύστημα και το λογισμικό σας ενημερωμένα για να επιδιορθώσετε τυχόν γνωστά τρωτά σημεία
• Να είστε προσεκτικοί κατά τη λήψη και το άνοιγμα συνημμένων ή αρχείων από άγνωστες πηγές
• Χρησιμοποιήστε ένα αξιόπιστο λογισμικό προστασίας από ιούς, ειδικά εάν κάνετε συχνά λήψη αρχείων από το Διαδίκτυο
• Ενεργοποιήστε το FileVault, το οποίο κρυπτογραφεί τα δεδομένα σας και τα προστατεύει σε περίπτωση κλοπής ή μη εξουσιοδοτημένης πρόσβασης
• Δημιουργήστε τακτικά αντίγραφα ασφαλείας των σημαντικών αρχείων σας σε έναν εξωτερικό σκληρό δίσκο
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η BlueNoroff διανέμει MacOS malware μέσω deepfake βίντεο σε Zoom meetings
https://www.secnews.gr/651427/bluenoroff-dianemei-macos-malware-meso-deepfake-video-se-zoom-meetings/
Jun 19th 2025, 11:24
by Digital Fortress
Οι Βορειοκορεάτες hackers BlueNoroff (γνωστοί και ως Sapphire Sleet ή TA444) ανεβάζουν το επίπεδο των κυβερνοεπιθέσεών τους, με τη χρήση deepfake βίντεο μέσω Zoom, στοχεύοντας υπαλλήλους εταιρειών για την εγκατάσταση MacOS malware στις συσκευές τους.
Η νέα εκστρατεία, που αποκαλύφθηκε από την ερευνητική ομάδα της Huntress στις 11 Ιουνίου 2025, αποδεικνύει ότι η BlueNoroff εξελίσσει συνεχώς τις μεθόδους της για να παρακάμπτει τα φίλτρα ασφαλείας και να διεισδύει σε εταιρικά περιβάλλοντα. Οι επιθέσεις έχουν πιθανότατα στόχο τη κλοπή κρυπτονομισμάτων. Οι συγκεκριμένοι hackers έχουν συνδεθεί με πολλές επιθέσεις κλοπής crypto.
Δείτε επίσης: Fake εφαρμογές Ledger κλέβουν seed phrases χρηστών macOS
Επιθέσεις μέσω ψεύτικων Zoom meetings και deepfakes
Το σενάριο ξεκινά όταν οι εισβολείς, προσποιούμενοι εξωτερικούς συνεργάτες, προσεγγίζουν υπαλλήλους μέσω Telegram και τους καλούν σε συνάντηση μέσω ενός ψεύτικου link Calendly. Αν και η πρόσκληση φαίνεται να αφορά σε Google Meet, ανακατευθύνει τελικά σε ψεύτικο domain Zoom υπό τον έλεγχο των επιτιθέμενων.
Κατά τη διάρκεια της εικονικής συνάντησης, οι χρήστες εκτίθενται σε deepfake βίντεο, τα οποία αναπαριστούν υψηλόβαθμα στελέχη της εταιρείας τους και άλλους δήθεν συμμετέχοντες.
Στην περίπτωση που μελέτησαν οι ερευνητές, το θύμα αντιμετώπισε κάποια προβλήματα με το μικρόφωνό του, το οποίο δεν λειτουργούσε, προφανώς λόγω τεχνικών προβλημάτων. Οι επιτιθέμενοι συμβούλευσαν το θύμα να κατεβάσει μια υποτιθέμενη επέκταση Zoom που θα έλυνε το πρόβλημα (αλλά στην πραγματικότητα ξεκινούσε τη διαδικασία για τη διανομή του MacOS malware).
Ο σύνδεσμος, που παρέχεται μέσω Telegram, οδήγησε το θύμα να κατεβάσει ένα αρχείο AppleScript (zoom_sdk_support.scpt). Αυτό άνοιξε ένα νόμιμο Zoom SDK webpage. Ωστόσο, μετά από 10.500 κενές γραμμές, ενεργοποίησε κακόβουλο κώδικα που κατεβάζει ένα δευτερεύον payload από απομακρυσμένο domain και το εκτελεί.
Δείτε επίσης: Η Apple διορθώνει σοβαρά ελαττώματα ασφαλείας σε iOS και macOS
MacOS malware
Η Huntress ανακάλυψε ότι το κακόβουλο script:
• Απενεργοποιεί το bash history logging (για να αποφύγει την ανίχνευση).
• Ελέγχει αν υπάρχει εγκατεστημένο το Rosetta 2 (για να υποστηρίξει x86_64 binaries σε Apple Silicon Macs). Εάν δεν είναι, το εγκαθιστά κρυφά.
• Δημιουργεί ένα κρυφό αρχείο .pwd στο σύστημα, το οποίο δεν το βλέπει ο χρήστης
• Κατεβάζει το payload από την κακόβουλη, ψεύτικη σελίδα Zoom στο /tmp/icloud_helper.
Συνολικά, εντοπίστηκαν οκτώ ξεχωριστά κακόβουλα binaries στο παραβιασμένο σύστημα
Τα 8 MacOS malware που εντοπίστηκαν στην καμπάνια
Telegram 2
Ένα persistence implant, γραμμένο σε Nim, το οποίο παρουσιάζεται ως νόμιμη ενημέρωση του Telegram. Εκτελείται σε τακτά χρονικά διαστήματα και λειτουργεί ως πύλη για την υπόλοιπη αλυσίδα του κακόβουλου λογισμικού. Η υπογραφή του με έγκυρο Telegram developer certificate του εξασφαλίζει αυξημένη κάλυψη από τα συστήματα ασφαλείας.
Root Troy V4
Ένα Go-based backdoor, που επιτρέπει απομακρυσμένη εκτέλεση εντολών, command queuing ακόμα και κατά τη διάρκεια αναστολής λειτουργίας και εγκατάσταση πρόσθετων payloads. Χρησιμοποιείται ως κεντρικός ελεγκτής της μόλυνσης, διατηρώντας και συγχρονίζοντας τη συνολική διαμόρφωση του malware.
InjectWithDyld
Ένα second-stage loader, το οποίο αποκρυπτογραφεί encrypted implants και τα εισάγει στη μνήμη του συστήματος. Εκμεταλλεύεται macOS-specific APIs για process injection και διαγράφει τα ίχνη της δραστηριότητάς του μετά την εκτέλεση.
XScreen (keyboardd)
Ένα ισχυρό εργαλείο παρακολούθησης, που καταγράφει πληκτρολογήσεις, τραβά στιγμιότυπα οθόνης και ελέγχει περιεχόμενο από το πρόχειρο. Τρέχει αθόρυβα στο παρασκήνιο και στέλνει τα δεδομένα σε C2 servers.
CryptoBot (airmond)
Infostealer που κλέβει δεδομένα από crypto wallets. Αναγνωρίζει και επιτίθεται σε περισσότερες από 20 πλατφόρμες πορτοφολιών, εξάγοντας ευαίσθητα δεδομένα και αποθηκεύοντάς τα προσωρινά σε local encrypted cache.
Αυξανόμενη πολυπλοκότητα – Επικίνδυνος εφησυχασμός στο macOS
Η Huntress υπογραμμίζει ότι η επίθεση αποτελεί χαρακτηριστικό παράδειγμα της κλιμακούμενης πολυπλοκότητας των εκστρατειών της BlueNoroff. Η ομάδα πλέον εκμεταλλεύεται deepfakes και custom MacOS malware για να διαπεράσει εταιρικά συστήματα με macOS, ένα λειτουργικό που πολλοί εξακολουθούν να θεωρούν λιγότερο εκτεθειμένο.
Δείτε επίσης: Το Albabat ransomware στοχεύει τώρα Linux και macOS
Καθώς όμως η υιοθέτηση macOS σε επιχειρηματικά περιβάλλοντα αυξάνεται, οι APT ομάδες στρέφουν ολοένα και περισσότερο την προσοχή τους στην πλατφόρμα της Apple.
Τα Mac δεν είναι άτρωτα
Η επίθεση αυτή επιβεβαιώνει ότι οι χρήστες Mac δεν μπορούν να θεωρούνται εκτός κινδύνου. Οι καμπάνιες κακόβουλου λογισμικού για macOS έχουν πλέον διευρυνθεί σημαντικά, από απλές αποστολές κλοπής δεδομένων έως πολύπλοκες, στοχευμένες επιχειρήσεις κατασκοπείας που εστιάζουν σε κρυπτονομίσματα και ευαίσθητες επιχειρηματικές πληροφορίες.
Προστασία από macOS malware
Η Apple προσφέρει κάποιες ενσωματωμένες δυνατότητες ασφαλείας, όπως το Gatekeeper και το XProtect για την πρόληψη κάποιας μόλυνσης.
Αλλά υπάρχουν και κάποιες άλλες μέθοδοι προστασίας:
• Διατηρήστε το λειτουργικό σας σύστημα και το λογισμικό σας ενημερωμένα για να επιδιορθώσετε τυχόν γνωστά τρωτά σημεία
• Να είστε προσεκτικοί κατά τη λήψη και το άνοιγμα συνημμένων ή αρχείων από άγνωστες πηγές
• Χρησιμοποιήστε ένα αξιόπιστο λογισμικό προστασίας από ιούς, ειδικά εάν κάνετε συχνά λήψη αρχείων από το Διαδίκτυο
• Ενεργοποιήστε το FileVault, το οποίο κρυπτογραφεί τα δεδομένα σας και τα προστατεύει σε περίπτωση κλοπής ή μη εξουσιοδοτημένης πρόσβασης
• Δημιουργήστε τακτικά αντίγραφα ασφαλείας των σημαντικών αρχείων σας σε έναν εξωτερικό σκληρό δίσκο
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz