Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

North Korean hackers use new macOS malware in crypto-theft attacks

3 minute de lecture

Mis à jour :

Cyberattaques Coréennes Visant le Secteur des Cryptomonnaies

Un groupe de pirates informatiques nord-coréens, identifié comme UNC1069, mène des campagnes ciblées exploitant l’intelligence artificielle et des techniques d’ingénierie sociale pour déployer des logiciels malveillants sur macOS et Windows. L’objectif principal de ces attaques est le vol de fonds de cryptomonnaies, comme l’a révélé une enquête de Google Mandiant sur une entreprise de technologie financière.

L’infection débute par une prise de contact via Telegram, suivie de l’invitation à une fausse réunion Zoom, facilitée par une vidéo “deepfake” d’un dirigeant d’une autre société de cryptomonnaies. Sous prétexte de résoudre des problèmes audio, les attaquants incitent la victime à exécuter des commandes sur une page web spécialement conçue, initiant ainsi la chaîne d’infection. Des méthodes similaires ont été observées par Huntress, attribuées à un autre groupe nord-coréen, BlueNoroff.

Points Clés :

  • Ciblage : Acteurs nord-coréens (UNC1069) visant spécifiquement le secteur des cryptomonnaies et du Web3.
  • Méthodes : Ingénierie sociale avancée (Telegram, deepfakes, fausses réunions Zoom), utilisation de l’IA.
  • Objectif : Vol financier de cryptomonnaies et collecte de données pour de futures attaques.
  • Évolution : Le groupe UNC1069 a démontré sa capacité à s’adapter, en passant du secteur financier traditionnel à l’industrie Web3 et aux cryptomonnaies.
  • Volume de Malware : Utilisation inhabituellement élevée de multiples familles de malwares sur une seule cible.

Vulnérabilités et Malwares Déployés (macOS) :

L’analyse par Mandiant a identifié sept familles de malwares distinctes pour macOS :

  1. WAVESHAPER : Porte dérobée C++ collectant des informations système et téléchargeant des charges utiles supplémentaires.
  2. HYPERCALL : Téléchargeur Golang se connectant au C2 via WebSockets pour télécharger et charger des bibliothèques dynamiques malveillantes en mémoire.
  3. HIDDENCALL : Porte dérobée Golang injectée par HYPERCALL, offrant un accès au clavier, l’exécution de commandes, des opérations sur fichiers et le déploiement de malwares additionnels.
  4. SILENCELIFT : Porte dérobée minimale C/C++ communiquant avec un serveur C2 prédéfini et capable d’interrompre les communications Telegram avec des privilèges root.
  5. DEEPBREATH : Outil d’extraction de données basé sur Swift, contournant les protections TCC de macOS en modifiant la base de données TCC pour obtenir un accès large au système de fichiers. Il vole les identifiants du trousseau, les données de navigateur, les informations Telegram et les notes Apple.
  6. SUGARLOADER : Téléchargeur C++ utilisant une configuration chiffrée pour récupérer les charges utiles de niveau supérieur et assure sa persistance via un démon de lancement créé manuellement.
  7. CHROMEPUSH : Outil d’extraction de données de navigateur C++, déployé par SUGARLOADER. Il s’installe comme un hôte de messagerie natif Chromium, se faisant passer pour une extension Google Docs Offline, et collecte les frappes au clavier, les identifiants, les cookies et potentiellement des captures d’écran.

Les malwares SILENCELIFT, DEEPBREATH et CHROMEPUSH représentent de nouveaux outils pour cet acteur de menace.

  • CVE : Aucune vulnérabilité spécifique avec des identifiants CVE n’est mentionnée dans l’article.

Recommandations :

Bien que l’article ne détaille pas de recommandations spécifiques pour les utilisateurs finaux, les informations fournies suggèrent implicitement la nécessité de :

  • Prudence accrue face aux communications non sollicitées : Être vigilant face aux contacts via des plateformes de messagerie, surtout s’ils proviennent d’utilisateurs inconnus ou de comptes compromis.
  • Scepticisme face aux invitations à des réunions en ligne : Vérifier la légitimité des liens et des plateformes de réunion, en particulier lorsqu’elles sont envoyées dans un contexte inattendu.
  • Méfiance envers les vidéos semblant “deepfake” : Être conscient de la possibilité d’utilisation de technologies d’IA pour tromper.
  • Renforcement des mesures de sécurité sur les appareils : Maintenir les systèmes d’exploitation et les logiciels à jour, et utiliser des solutions de sécurité robustes.
  • Formation à la cybersécurité : Sensibiliser les employés aux techniques d’ingénierie sociale et aux menaces actuelles.

Source

Vous pourriez aimer