Google Cloud ostrzega przed północnokoreańskim złośliwym oprogramowaniem kryptowalutowym

Mandiant, działająca w ramach Google Cloud, zidentyfikowała nasilającą się kampanię cybernetyczną powiązaną z Koreą Północną, wymierzoną w firmy z branży kryptowalut i fintech, wykorzystującą zaawansowane złośliwe oprogramowanie oraz inżynierię społeczną wspieraną przez AI.

Grupa zagrożeń, śledzona jako UNC1069, wdrożyła siedem różnych rodzin złośliwego oprogramowania zaprojektowanych do pozyskiwania i wykradania poufnych danych, co stanowi znaczące rozszerzenie aktywności monitorowanej przez Mandiant od 2018 roku.

“To dochodzenie ujawniło ukierunkowane włamanie, którego rezultatem było wdrożenie siedmiu unikalnych rodzin złośliwego oprogramowania, w tym nowego zestawu narzędzi zaprojektowanych do przechwytywania danych hosta i ofiary: SILENCELIFT, DEEPBREATH oraz CHROMEPUSH,”

podała Mandiant w swoim raporcie.

Kampania wykorzystywała przejęte konta Telegram oraz organizowała fałszywe spotkania na Zoom z udziałem wygenerowanych przez AI deepfake’ów wideo, podczas których ofiary nakłaniano do uruchamiania ukrytych poleceń w tzw. atakach ClickFix.

Dwie nowo zidentyfikowane odmiany złośliwego oprogramowania, CHROMEPUSH oraz DEEPBREATH, zostały zaprojektowane do omijania kluczowych zabezpieczeń systemów operacyjnych i wykradania danych osobowych, a po ogłoszeniu tej informacji kurs akcji Alphabet pozostał bez zmian na poziomie $XX.