Google Cloud segnala malware crypto della Corea del Nord

Mandiant, che opera sotto Google Cloud, ha identificato una crescente campagna informatica collegata alla Corea del Nord che prende di mira aziende di criptovalute e fintech con malware avanzati e ingegneria sociale basata su AI.

Il gruppo di minaccia, monitorato come UNC1069, ha distribuito sette famiglie distinte di malware progettate per raccogliere ed esfiltrare dati sensibili, segnando una notevole espansione delle attività osservate per la prima volta da Mandiant nel 2018.

“Questa indagine ha rivelato un'intrusione su misura che ha portato al rilascio di sette famiglie di malware uniche, inclusa una nuova serie di strumenti progettati per catturare dati dell'host e della vittima: SILENCELIFT, DEEPBREATH e CHROMEPUSH,”

ha dichiarato Mandiant nel suo rapporto.

La campagna ha sfruttato account Telegram compromessi e ha messo in scena false riunioni Zoom con video deepfake generati dall'intelligenza artificiale, inducendo le vittime ad eseguire comandi nascosti nei cosiddetti attacchi ClickFix.

Due nuovi ceppi di malware identificati, CHROMEPUSH e DEEPBREATH, sono stati progettati per aggirare le principali protezioni dei sistemi operativi ed estrarre dati personali, e dopo l'annuncio il prezzo delle azioni Alphabet è rimasto invariato a $XX.