Північнокорейські хакери почали використовувати діпфейки керівників компаній

Північнокорейська хакерська група BlueNoroff використовує діпфейки керівників компаній під час дзвінків у Zoom, щоб обманом змусити співробітників встановити шкідливе програмне забезпечення на свої пристрої macOS. Про це повідомляє Bleeping Computer.

Атака відбувається через Telegram. Хакер зв’язується з потенційною жертвою, видаючи себе за працівника компанії, якому доручено зібрати співробітників на відеозустріч в Zoom. Він надсилає через месенджер запрошення, яке містить посилання на фейковий домен Zoom, контрольований зловмисниками.

Якщо працівник з’явився на відеозустріч, на ній використовувалось фейкове відео з відомим керівником компанії, де працює жертва, та додатковими учасниками, щоб додати сеансу достовірності.

Під час зустрічі у жертви з’являлись штучні проблеми з мікрофоном, який нібито не працює через технічні негаразди. Після цього діпфейк керівника радить працівнику завантажити нібито розширення Zoom, яке вирішить цю проблему.

Посилання, яке теж надсилається через Telegram, веде жертву до завантаження файлу AppleScript (zoom_sdk_support.scpt). Після виконання файл відкриває легітимну веб-сторінку Zoom SDK, але після 10500 порожніх рядків у ньому виконується шкідлива команда для завантаження файлів із зовнішнього джерела.

Як і у випадку попередніх атак, основною метою злочинців є крадіжка криптовалюти.

BlueNoroff (також відомий як Sapphire Sleet або TA444) — це група, відома проведенням хакерських атак з метою крадіжки криптовалюти за допомогою шкідливого програмного забезпечення для Windows та Mac. Дослідники Huntress виявили нову атаку BlueNoroff 11 червня 2025 року, коли розслідували потенційне вторгнення в мережу компанії-партнера.