Ciberdelincuentes atacan macOS vía Zoom: basta con "ajustar el sonido" en una llamada para perder tus datos
Ciberdelincuentes de Corea del Norte desarrollan siete nuevas familias de malware para robar datos de navegadores y de Telegra
El grupo norcoreano UNC1069 ha intensificado notablemente los ataques contra empresas de criptomonedas y fintech y ahora utiliza con mayor frecuencia videollamadas falsas y técnicas basadas en redes neuronales. En uno de los incidentes los atacantes se hicieron pasar por directivos de una empresa cripto, organizaron una reunión falsa en Zoom y convencieron a la víctima de ejecutar manualmente comandos maliciosos en su dispositivo. Como resultado, en el sistema se instalaron varios programas maliciosos nuevos diseñados específicamente para robar credenciales y datos del navegador.
La operación fue investigada por especialistas de la empresa Mandiant. Según datos, detrás del ataque está el grupo UNC1069, vinculado a Corea del Norte y activo al menos desde 2018. Suele centrarse en startups de criptomonedas, desarrolladores de software y fondos de inversión. En la nueva campaña se empleó un conjunto actualizado de herramientas y siete familias de malware. Entre ellas aparecen, por primera vez, SILENCELIFT, DEEPBREATH y CHROMEPUSH, diseñadas para la recopilación encubierta de información de los dispositivos.
El ataque comenzó con un mensaje en Telegram que aparentaba ser del responsable de una conocida empresa de criptomonedas. Para entonces su cuenta ya había sido comprometida. Tras intercambiar mensajes, a la víctima le enviaron un enlace a un servicio de programación de reuniones y la invitaron a una llamada de media hora. El enlace llevaba a una página falsa de Zoom alojada en la infraestructura de los atacantes. Durante la conversación mostraron al participante un vídeo supuestamente de otro directivo de la compañía cripto. Según la víctima, el clip parecía una falsificación creíble creada con una red neuronal.
A continuación le comunicaron al participante que había problemas de sonido y le propusieron "arreglarlos" mediante comandos de diagnóstico. Se trata de la conocida técnica ClickFix, en la que se persuade al usuario para que ejecute en su sistema un conjunto de instrucciones. Entre las líneas aparentemente inocuas se ocultaba un comando que lanzó la cadena de infección. Se habían preparado variantes tanto para macOS como para Windows.
Tras ejecutar los comandos en un dispositivo con macOS se instalaron sucesivamente varios módulos. El primero abría acceso remoto y descargaba componentes adicionales. Después se activaron cargadores y módulos de control ocultos que garantizaban la persistencia en el sistema y descargaban nuevos archivos desde la red. Diferentes partes de la cadena estaban escritas en varios lenguajes de programación, lo que indica un enfoque modular en el desarrollo.
Llamaron la atención dos herramientas dedicadas al robo de datos. El módulo DEEPBREATH eludía las protecciones integradas de macOS relacionadas con el control de acceso a archivos personales. Modificaba la base de permisos y obtenía acceso a Documentos, Descargas y Escritorio. A continuación recopilaba contraseñas del llavero, datos de los navegadores Chrome, Brave y Edge, información de Telegram y notas. El archivo con los datos recopilados se enviaba a un servidor remoto.
El segundo módulo, CHROMEPUSH, se instalaba como extensión de navegador y se camuflaba como un complemento para la edición sin conexión de documentos de Google. Interceptaba las pulsaciones de teclas, inicios de sesión, contraseñas y cookies, y luego los transmitía a los atacantes. Para afianzarse en el sistema también se utilizaron procesos de inicio automático.
Un componente independiente, SILENCELIFT, actuaba como un módulo de control ligero y silencioso que enviaba periódicamente información del sistema a un servidor de mando. Si se ejecutaba con privilegios de administrador, podía interferir en el funcionamiento de Telegram.
El análisis también determinó que los miembros de UNC1069 aplican activamente herramientas basadas en redes neuronales. Las emplean para preparar cebos, editar imágenes y vídeos y desarrollar programas maliciosos. Investigadores de la unidad de inteligencia sobre amenazas de Google habían observado antes el paso del grupo de un uso básico de redes neuronales para mejorar la productividad a su empleo directo en ataques reales. Los investigadores subrayan que en este caso los atacantes cargaron una cantidad inusualmente grande de herramientas en un solo dispositivo, lo que indica un intento deliberado de recopilar el máximo de datos posible, tanto para el robo de criptoactivos como para futuros ataques de suplantación de identidad y de contactos de confianza.