MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Access

North Korean hackers used deepfake Zoom calls

مجموعة BlueNoroff تستهدف موظف عملات رقمية بخدعة Zoom باستخدام Deepfake لتثبيت برمجيات خبيثة على macOS.


خدعة Zoom باستخدام Deepfake من مجموعة BlueNoroff تستهدف موظفاً في مجال العملات الرقمية عبر برمجيات خبيثة لنظام macOS

الهجوم الاجتماعي المتطور عبر مكالمات مزيفة

كشفت شركة Huntress عن حملة اختراق جديدة نفذتها مجموعة التهديد المرتبطة بكوريا الشمالية والمعروفة باسم BlueNoroff، استهدفت موظفاً في مؤسسة تعمل بمجال Web3 باستخدام مكالمة Zoom مزيفة يتضمن شخصيات Deepfake لمديرين تنفيذيين بالشركة.

تفاصيل الخدعة وأساليب الهندسة الاجتماعية

  • تلقى الموظف رسالة عبر تطبيق Telegram من جهة خارجية تطلب تحديد موعد.
  • أُرسلت له دعوة Google Meet عبر رابط Calendly، ولكنه تم توجيهه إلى نطاق Zoom مزيف خاضع لسيطرة المهاجمين.
  • خلال الاجتماع، استخدمت شخصيات مزيفة Deepfake لحث الموظف على تنزيل امتداد Zoom لحل مشكلة صوت مزعومة.

تحميل البرمجية الخبيثة

تم تحميل ملف AppleScript يدعى "zoom_sdk_support.scpt" يقوم بفتح صفحة Zoom رسمية، ثم ينفذ سكريبت لتحميل حمولة خبيثة من نطاقات ضارة خفية وتنفيذها على نظام macOS الخاص بالضحية.

يشمل السلوك الخبيث إيقاف سجل الأوامر، وتثبيت Rosetta 2، وتحميل ملفات ثانوية إلى مجلدات مخفية، وطلب كلمة مرور النظام، ثم مسح آثار الأوامر المنفذة.

البصمة الرقمية للبرمجيات المكتشفة

  • Telegram 2: ملف أولي لبدء الاتصال الخلفي (Backdoor).
  • Root Troy V4: برمجية Go كاملة للتحكم عن بعد وتنزيل برمجيات إضافية.
  • InjectWithDyld: أداة تحميل بلغة C++ لتسهيل تحميل تطبيق Swift وNim implant.
  • XScreen: برنامج مراقبة يسجل ضغطات المفاتيح، الحافظة، والشاشة.
  • CryptoBot: برمجية Go لجمع ملفات العملات الرقمية من الجهاز.
  • NetChk: ملف عديم الوظيفة يبدو أنه لتضليل التحليل الأمني.

خلفية مجموعة BlueNoroff

تعد BlueNoroff فرعاً من مجموعة Lazarus سيئة السمعة، ولها سجل في تنفيذ سرقات رقمية لتمويل حكومة كوريا الشمالية. من أبرز عملياتها: هجوم Bybit في فبراير 2025 واختراق Axie Infinity في مارس 2022.

تطور تقنيات الهجوم: ClickFake Interview وPylangGhost

أشارت تقارير Cisco Talos إلى نسخة جديدة من حملة "Contagious Interview" تُعرف باسم ClickFake Interview، وتستخدم مواقع وهمية لوظائف مزيفة لتحميل برمجيات خبيثة مثل GolangGhost ونسخته الجديدة PylangGhost المطورة بلغة Python.

هذه البرمجيات تستهدف مستخدمي Windows وmacOS، وتقوم بسرقة بيانات المتصفح، كلمات المرور، وملفات العملات الرقمية، بينما لا تستهدف مستخدمي Linux في الحملة الحالية.

نصيحة أمنية

قالت Huntress إن الموظفين العاملين عن بعد، خاصة في المجالات المالية أو الرقمية، هم أهداف مثالية لهذه الهجمات، مشيرة إلى أهمية التدريب المستمر على اكتشاف محاولات الهندسة الاجتماعية المتعلقة بأدوات الاجتماعات الافتراضية.