Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Севернокорејски хакери користат нов macOS малициозен софтвер во напади за кражба на криптовалути

Објавено: 11.02.2026

Севернокорејските хакери спроведуваат таргетирани кампањи користејќи видеа генерирани со вештачка интелигенција и техниката ClickFix за да испорачуваат малициозен софтвер за macOS и Windows до цели во криптовалутниот сектор.

Целта на заканувачкиот актер е финансиска, што се гледа од улогата на алатките користени во напад врз финтек компанија истражуван од истражувачите на Google Mandiant.

За време на истражувањето, истражувачите откриле седум различни семејства на macOS малициозен софтвер и го припишале нападот на UNC1069, група што ја следат од 2018 година.

Ланец на инфекција

Нападот имал силна компонента на социјален инженеринг, бидејќи жртвата била контактирана преку Telegram од компромитирана сметка на извршен директор на криптовалутна компанија.

Откако изградиле доверба, хакерите споделиле линк од Calendly што ја однел жртвата на лажна Zoom страница поставена на инфраструктурата на напаѓачот.

Според метата, хакерите прикажале deepfake видео од извршен директор на друга криптовалутна компанија.

„Откако жртвата се приклучила на ‘состанокот’, лажниот видео повик создавал впечаток дека има проблеми со аудиото“, велат истражувачите од Mandiant.

Под овој изговор, напаѓачот ѝ наложил на жртвата да ги „реши“ проблемите со извршување команди прикажани на веб-страница. Mandiant пронашле команди и за Windows и за macOS кои го започнувале ланецот на инфекција.

Истражувачите од Huntress документирале сличен метод на напад во средината на 2025 година и го припишале на групата BlueNoroff, уште еден севернокорејски актер познат и како Sapphire Sleet и TA44, кој таргетирал macOS системи со различен сет на payload-и.

macOS малициозен софтвер

Истражувачите од Mandiant пронашле докази за извршување на AppleScript откако започнал ланецот на инфекција, но не успеале да ја повратат содржината на payload-от, по што бил имплементиран малициозен Mach-O бинарен фајл. Во следната фаза, напаѓачот извршил седум различни семејства на малициозен софтвер:

WAVESHAPER – C++ backdoor кој работи како позадински демон, собира информации за системот, комуницира со C2 сервер преку HTTP/HTTPS користејќи curl и презема и извршува дополнителни payload-и.

HYPERCALL – downloader базиран на Golang кој чита RC4-енкриптирана конфигурациска датотека, се поврзува со C2 преку WebSockets на TCP 443, презема малициозни динамички библиотеки и ги вчитува директно во меморија.

HIDDENCALL – Golang backdoor кој се инјектира од HYPERCALL и овозможува директен пристап до системот (hands-on keyboard), поддржува извршување команди, работа со датотеки и распоредување дополнителен малициозен софтвер.

SILENCELIFT – минималистички C/C++ backdoor кој испраќа информации за системот и статусот на заклучениот екран до претходно дефиниран C2 сервер и може да ги прекине Telegram комуникациите ако се извршува со root привилегии.

DEEPBREATH – алатка за крадење податоци базирана на Swift, распоредена преку HIDDENCALL, која ги заобиколува macOS TCC заштитите со измена на TCC базата на податоци за да добие широк пристап до датотечниот систем и краде keychain креденцијали, податоци од прелистувач, Telegram податоци и податоци од Apple Notes.

SUGARLOADER – C++ downloader кој користи RC4-енкриптирана конфигурација за преземање на следните фази од нападот и обезбедува трајност преку рачно креиран launch daemon.

CHROMEPUSH – C++ алатка за крадење податоци од прелистувач, распоредена од SUGARLOADER, која се инсталира како native messaging host за Chromium претставувајќи се како Google Docs Offline екстензија и собира притисоци на тастери, креденцијали, cookies и по потреба прави слики од екранот.

Преглед на ланецот на нападот

Од пронајдениот малициозен софтвер, SUGARLOADER има најмногу детекции на платформата за скенирање VirusTotal, по што следи WAVESHAPER, кој е детектиран од само два безбедносни производи. Останатите не се присутни во базата на податоци на платформата.

Mandiant наведува дека SILENCELIFT, DEEPBREATH и CHROMEPUSH претставуваат нов сет на алатки на заканувачкиот актер.

Истражувачите го опишуваат како невообичаен обемот на малициозен софтвер распоредeн на еден уред против едно лице.

Ова потврдува дека станува збор за таргетиран напад насочен кон собирање што е можно повеќе податоци од две причини: „кражба на криптовалути и поттикнување идни кампањи за социјален инженеринг преку искористување на идентитетот и податоците на жртвата“, велат од Mandiant.

Од 2018 година, UNC1069 ја покажува својата способност за еволуција преку усвојување нови техники и алатки. Во 2023 година, заканувачкиот актер се пренасочил кон цели во Web3 индустријата (централизирани берзи, развивачи, венчур капитал фондови).

Минатата година, групата го сменила фокусот кон финансиските услуги и криптовалутната индустрија, во сегменти како што се платежни системи, брокерски услуги и инфраструктура за крипто-паричници.

Извори:

  • Bleeping Computer – North Korean hackers use new macOS malware in crypto-theft attacks Bleeping Computer