Алло, мы ищем таланты (и пароли). Хакеры устроили самый дорогой спектакль в Zoom
NewsMakerЛицо в мониторе ненастоящее. Голос тоже. А вот потеря денег — реальна.
Северокорейская группировка UNC1069 заметно усилила атаки на криптовалютные и финтех-компании и теперь всё чаще использует поддельные видеозвонки и приёмы с применением нейросетей. В одном из инцидентов злоумышленники выдали себя за руководителей криптобизнеса, устроили фальшивую встречу в Zoom и убедили жертву собственноручно запустить вредоносные команды на своём устройстве. В результате на систему было загружено сразу несколько новых вредоносных программ, созданных специально для кражи учётных данных и данных браузера.
Операцию изучили специалисты компании Mandiant . По их данным , за атакой стоит группа UNC1069, связанная с КНДР и действующая как минимум с 2018 года. Обычно она нацелена на криптовалютные стартапы, разработчиков программного обеспечения и инвестиционные фонды. В новой кампании использовался обновлённый набор инструментов и сразу семь семейств вредоносных программ. Среди них — ранее не встречавшиеся SILENCELIFT, DEEPBREATH и CHROMEPUSH, предназначенные для скрытого сбора информации с устройств.
Атака началась с сообщения в Telegram от имени руководителя известной криптовалютной компании. Его учётная запись к тому моменту уже была захвачена. После переписки жертве отправили ссылку на сервис планирования встреч и пригласили на получасовой звонок. Ссылка вела на поддельную страницу Zoom, размещённую на инфраструктуре злоумышленников. Во время разговора участнику показали видео с якобы другим директором криптокомпании. По описанию пострадавшего, ролик выглядел как правдоподобная подделка, созданная с помощью нейросети.
Далее участнику сообщили о проблемах со звуком и предложили «исправить» их с помощью диагностических команд. Это известный приём ClickFix , когда пользователя убеждают самостоятельно выполнить в системе набор инструкций. Среди безобидных строк была скрыта команда, которая запускала цепочку заражения. Подготовлены были варианты и для macOS, и для Windows.
Северокорейская группировка UNC1069 заметно усилила атаки на криптовалютные и финтех-компании и теперь всё чаще использует поддельные видеозвонки и приёмы с применением нейросетей. В одном из инцидентов злоумышленники выдали себя за руководителей криптобизнеса, устроили фальшивую встречу в Zoom и убедили жертву собственноручно запустить вредоносные команды на своём устройстве. В результате на систему было загружено сразу несколько новых вредоносных программ, созданных специально для кражи учётных данных и данных браузера.
Операцию изучили специалисты компании Mandiant . По их данным , за атакой стоит группа UNC1069, связанная с КНДР и действующая как минимум с 2018 года. Обычно она нацелена на криптовалютные стартапы, разработчиков программного обеспечения и инвестиционные фонды. В новой кампании использовался обновлённый набор инструментов и сразу семь семейств вредоносных программ. Среди них — ранее не встречавшиеся SILENCELIFT, DEEPBREATH и CHROMEPUSH, предназначенные для скрытого сбора информации с устройств.
Атака началась с сообщения в Telegram от имени руководителя известной криптовалютной компании. Его учётная запись к тому моменту уже была захвачена. После переписки жертве отправили ссылку на сервис планирования встреч и пригласили на получасовой звонок. Ссылка вела на поддельную страницу Zoom, размещённую на инфраструктуре злоумышленников. Во время разговора участнику показали видео с якобы другим директором криптокомпании. По описанию пострадавшего, ролик выглядел как правдоподобная подделка, созданная с помощью нейросети.
Далее участнику сообщили о проблемах со звуком и предложили «исправить» их с помощью диагностических команд. Это известный приём ClickFix , когда пользователя убеждают самостоятельно выполнить в системе набор инструкций. Среди безобидных строк была скрыта команда, которая запускала цепочку заражения. Подготовлены были варианты и для macOS, и для Windows.