Северокорейские хакеры используют новые вредоносные программы для macOS в крипто-краже

В криптовалютном секторе зафиксирована серия целевых кибератак с применением новых вредоносных программ для macOS и Windows. Кампании связывают с северокорейскими хакерами, которые комбинируют социальную инженерию, ИИ-видео и приём ClickFix для доставки полезных нагрузок. Основной мотив — финансовый.

Расследование провели специалисты Google Mandiant. В одном из инцидентов атака была направлена на финтех-компанию и сопровождалась индивидуальным подбором сценария под конкретную цель. В ходе ответного анализа исследователи выявили сразу 7 различных семейств вредоносного ПО для macOS и отнесли активность к кластеру UNC1069, который отслеживается с 2018 года.

Начальный контакт строился через Telegram и выглядел правдоподобно. Злоумышленники писали с скомпрометированного аккаунта руководителя криптокомпании, формировали доверие, а затем направляли жертву по ссылке Calendly. Следующим шагом становилась поддельная страница встречи Zoom, размещённая на инфраструктуре атакующих.

Ключевым элементом обмана стало ИИ-видео с «участием» генерального директора другой криптокомпании. Во время «созвона» фейковый видеопоток создавал ощущение технических проблем со звуком. Под этим предлогом жертве предлагали выполнить «диагностику», следуя инструкциям прямо на странице встречи.

Как отмечают аналитики Mandiant, на странице были размещены команды и для Windows, и для macOS. Их выполнение запускало цепочку заражения, приводившую к установке вредоносных компонентов и последующему контролю системы.

Параллели с подобной тактикой ранее фиксировали и исследователи Huntress. В середине 2025 года они описали схожий сценарий и связали его с группой BlueNoroff, известной также под именами Sapphire Sleet и TA44. Эта структура также ориентируется на криптовалютные цели и применяет иной набор полезных нагрузок для macOS.