I cybercriminali del gruppo nordcoreano BlueNoroff usano deepfake video dei dirigenti aziendali durante le chiamate con Zoom per ingannare i dipendenti e distribuire malware per macOS. Gli attacchi più recenti sono iniziati a metà giugno, come hanno scoperto i ricercatori di Huntress.
Ingegneria sociale con deepfake AI
Il gruppo BlueNoroff (noto anche come Sapphire Sleet) è specializzato nel furto di criptovalute, ma stavolta ha avviato una campagna malware più ampia che prevede la raccolta di dati sensibili dai computer aziendali. La catena di infezione inizia con l’invio di un messaggio ad un impiegato su Telegram.
Nel testo è presente un link Calendly che sembra un invito di Google Meet. In realtà, l’URL porta l’utente ad un dominio Zoom falso controllato dai cybercriminali. Quando il dipendente partecipa al meeting su Zoom vede alcuni dirigenti aziendali, ma si tratta di deepfake video.
Durante il meeting, il dipendente segnala che il microfono non funziona. I dirigenti fake suggeriscono di installare un’estensione Zoom che risolve il problema. Si tratta invece di un file AppleScript che scarica ed esegue i malware per macOS. I ricercatori di Huntress hanno individuato otto diversi malware: Telegram 2 (backdoor), Root Troy V4 (backdoor), InjectWithDyld (loader che carica altri due payload), XScreen (keylogger), CryptoBot (infostealer) e NetChk (generatore di numeri casuali).
Questi malware permettono di accedere al Mac da remoto, eseguire comandi, iniettare codice nei processi, registrare i tasti premuti, accedere alla clipboard, catturare screenshot, rubare criptovalute e inviare i dati al server C2 (command and control).
Molti utenti Mac credono che siano immuni dagli attacchi. In realtà, i notebook di Apple sono molto utilizzati nelle aziende, quindi i cybercriminali possono ottenere maggiori profitti rispetto agli attacchi effettuati contro i dispositivi Windows.
Ti potrebbe interessare
22 giu 2025