Группа хакеров UNC1069, связанная с Северной Кореей, начала активно применять фальшивые видеозвонки для взлома криптовалютных компаний и финтех-фирм. Специалисты Mandiant выяснили, что атака начинается с захвата аккаунта Telegram топ-менеджера известной криптофирмы. Жертву приглашают на встречу через фейковую страницу Zoom, а затем показывают ей видеоролик, имитирующий разговор с руководителем другой организации.
Под предлогом проблем со звуком жертву вынуждают запустить вредоносные команды, ведущие к заражению системы. Используются новейшие инструменты вроде SILENCELIFT, DEEPBREATH и CHROMEPUSH, способные незаметно собирать личные данные пользователей.
Применяя разные языки программирования и модульный подход, преступники получают полный контроль над устройством жертвы, крадут пароли, браузерные куки и конфиденциальные документы. Один из инструментов даже способен обойти защитные механизмы macOS, связанные с контролем доступа к личным файлам.
Так, модуль DEEPBREATH вносил изменения в базу разрешений и получал доступ к документам, загрузкам и рабочему столу. После этого программа собирала пароли из связки ключей, данные браузеров Chrome, Brave и Edge, информацию из Telegram и заметок. Архив с собранными данными отправлялся на удалённый сервер.
@VeroTrace |
#VeroTrace #AML #CFT #KYC #KYT #AI #AML_AI #Theft #Scams #NortKorea #Zoom #Hackers #Cryptoprojects #Apple #Hacking
В этом посте были ссылки, но мы их удалили по правилам Сетки
