Severokorejská hackerská skupina známá jako UNC1069 byla pozorována při cílení na kryptoměnový sektor s cílem ukrást citlivá data ze systémů Windows a macOS s konečným záměrem usnadnit finanční krádež.
UNC1069, o které se předpokládá, že je aktivní minimálně od dubna 2018, má historii provádění sociálně inženýrských kampaní za účelem finančního zisku pomocí falešných pozvánek na schůzky a vydávání se za investory z renomovaných společností na Telegramu. Širší kybernetická bezpečnostní komunita ji také sleduje pod názvy CryptoCore a MASAN.
Ve zprávě zveřejněné v listopadu minulého roku Google Threat Intelligence Group (GTIG) poukázala na využívání nástrojů generativní umělé inteligence (AI), jako je Gemini, touto hackerskou skupinou k produkci lákavého materiálu a dalších zpráv souvisejících s kryptoměnami v rámci úsilí o podporu jejích sociálně inženýrských kampaní.
Skupina byla také pozorována při pokusech o zneužití Gemini k vývoji kódu pro krádež kryptoměn, stejně jako při využívání deepfake obrázků a video návnad napodobujících jednotlivce v kryptoměnovém průmyslu ve svých kampaních k distribuci backdooru nazvaného BIGMACHO obětem tím, že jej vydávala za vývojovou sadu Zoom (SDK).
V nejnovějším průniku zdokumentovaném divizí threat intelligence technologického giganta se uvádí, že UNC1069 nasadila až sedm unikátních malwarových rodin, včetně několika nových malwarových rodin, jako jsou SILENCELIFT, DEEPBREATH a CHROMEPUSH.
Vše začíná, když je oběť oslovena hackerskou skupinou prostřednictvím Telegramu vydáváním se za rizikové kapitalisty a v několika případech dokonce pomocí kompromitovaných účtů legitimních podnikatelů a zakladatelů startupů. Jakmile je kontakt navázán, útočník používá Calendly k naplánování 30minutové schůzky s nimi.
Odkaz na schůzku je navržen tak, aby přesměroval oběť na falešnou webovou stránku maskující se jako Zoom („zoom.uswe05[.]us“). V určitých případech jsou odkazy na schůzky sdíleny přímo prostřednictvím zpráv na Telegramu, často s využitím funkce hypertextových odkazů Telegramu ke skrytí phishingových URL.
Bez ohledu na použitou metodu, jakmile oběť klikne na odkaz, je jí prezentováno falešné rozhraní videohovoru, které napodobuje Zoom a vyzývá ji, aby povolila kameru a zadala své jméno. Jakmile cíl vstoupí do schůzky, zobrazí se mu obrazovka připomínající skutečnou schůzku Zoom.
Předpokládá se však, že videa jsou buď deepfaky, nebo skutečné nahrávky tajně zachycené od jiných obětí, které dříve padly za oběť stejnému schématu. Stojí za zmínku, že Kaspersky sleduje stejnou kampaň pod názvem GhostCall, která byla podrobně zdokumentována v říjnu 2025.
Útok pokračuje do další fáze, když je oběti zobrazena falešná chybová zpráva o údajném problému se zvukem, po které je vyzvána ke stažení a spuštění příkazu pro řešení problémů ve stylu ClickFix k vyřešení problému. V případě macOS vedou příkazy k doručení AppleScriptu, který následně umístí škodlivý binární soubor Mach-O do systému.
Škodlivý spustitelný soubor C++ nazvaný WAVESHAPER je navržen ke shromažďování systémových informací a distribuci stahovače založeného na Go s kódovým označením HYPERCALL, který je poté použit k doručení dalších payloadů:
Následný backdoorový komponent Golang známý jako HIDDENCALL, který poskytuje přímý přístup ke kompromitovanému systému pomocí klávesnice a nasazuje data miner založený na Swift nazvaný DEEPBREATH
Druhý stahováč C++ nazvaný SUGARLOADER, který se používá k nasazení CHROMEPUSH
Minimalistický backdoor C/C++ označovaný jako SILENCELIFT, který odesílá systémové informace na command-and-control (C2) server
DEEPBREATH je vybaven k manipulaci s databází Transparency, Consent, and Control (TCC) systému macOS za účelem získání přístupu k souborovému systému, což mu umožňuje krást přihlašovací údaje iCloud Keychain a data z Google Chrome, Brave a Microsoft Edge, Telegramu a aplikace Apple Notes.
Podobně jako DEEPBREATH funguje i CHROMEPUSH jako kradič dat, pouze je napsán v C++ a je nasazen jako rozšíření prohlížeče pro Google Chrome a Brave tím, že se maskuje jako nástroj pro offline úpravu dokumentů Google. Přichází také se schopností zaznamenávat stisknutí kláves, sledovat vstupy uživatelských jmen a hesel a extrahovat cookies prohlížeče.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
