Incidents associés
Une nouvelle campagne de cyberattaque menée par le groupe BlueNoroff, lié à la Corée du Nord, a été révélée. Elle visait un employé du secteur Web3 via de faux appels Zoom et un logiciel malveillant pour macOS. Des chercheurs en sécurité affirment que cet incident reflète la sophistication croissante des opérations de phishing menées par les États-nations.
Faux dirigeants sur Zoom, véritable logiciel malveillant sur Mac
Selon une entreprise de cybersécurité, l'attaque a débuté par un message Telegram demandant de planifier une réunion. Une invitation Calendly semblait légitime, mais a été redirigée vers un site malveillant similaire à Zoom, contrôlé par des attaquants.
Quelques semaines plus tard, l'employé a rejoint une fausse réunion Zoom alimentée par des faux appels Zoom générés par l'IA, montrant des dirigeants de sa propre entreprise. Après avoir signalé des problèmes audio, les attaquants ont partagé une prétendue « extension Zoom » via Telegram. Ce fichier, un AppleScript malveillant, a déclenché une chaîne de logiciels malveillants furtifs.
Le script a téléchargé d'autres charges utiles depuis de faux domaines Zoom, notamment une porte dérobée déguisée en outil d'assistance. Il a contourné les journaux utilisateur, vérifié la couche de traduction Rosetta d'Apple et demandé le mot de passe système pour installer d'autres logiciels malveillants.
L'arsenal de portes dérobées comprend un enregistreur de frappe et un voleur de cryptomonnaies
Huntress a détecté huit composants malveillants uniques sur le Mac infecté :
- Un binaire basé sur Nim pour lancer la porte dérobée
- Root Troy V4, un implant basé sur Go qui exécute des scripts et des commandes Apple
- InjectWithDyld, un chargeur qui installe d'autres implants et une application Swift
- XScreen, un enregistreur de frappe Objective-C qui capture également les données du presse-papiers et de l'écran
- CryptoBot, qui recherche et exfiltre les données des portefeuilles de cryptomonnaies
- NetChk, une application leurre générant une infinité de nombres aléatoires
Tout le trafic était acheminé via une infrastructure C2 imitant les domaines Zoom.
BlueNoroff est également identifié comme APT38, TA444, et TraderTraitor fait partie du groupe nord-coréen Lazarus et est connu pour ses attaques à motivation financière. Parmi les campagnes passées, on peut citer le piratage d'Axie Infinity (2022) et la violation de Bybit (2025).
Les fausses offres d'emploi alimentent les attaques multiplateformes
Cette campagne reprend les tactiques utilisées lors des escroqueries Contagious Interview et ClickFake Interview. Dans ces cas, les attaquants se faisaient passer pour des recruteurs et incitaient les victimes à exécuter des scripts malveillants sous prétexte de résoudre des problèmes de webcam ou de microphone.
Cisco Talos a signalé que les versions plus récentes utilisent une variante Python de GolangGhost, désormais connue sous le nom de PylangGhost. Ces chevaux de Troie ciblent les utilisateurs Windows et macOS, récupérant les identifiants et les cookies de plus de 80 extensions de navigateur et gestionnaires de mots de passe. Les victimes en Inde auraient été parmi les principales cibles.
Des sites frauduleux se faisaient passer pour de grandes marques de cryptomonnaies comme Coinbase, Robinhood et Uniswap afin d'inciter les demandeurs d'emploi à exécuter des logiciels malveillants dans le cadre d'une fausse évaluation d'embauche.
Des chercheurs en sécurité pensent que l'acteur malveillant Famous Chollima, possiblement un groupe de coordination, est à l'origine de ces attaques.