В современном мире киберугрозы становятся все более изощренными и новаторскими. Северокорейская группа хакеров BlueNoroff — известный продвинутый постоянный угрожающий коллектив, или APT-группа, — раскрыла новые горизонты социальной инженерии, применяя технологии дипфейка и комбинируя их с атаками на операционную систему macOS. Это иллюстрирует возрастающую сложность и целевую направленность кибератак в эпоху искусственного интеллекта и растущего рынка криптовалют. BlueNoroff, также известная как Sapphire Sleet или TA444, давно прославилась кражами криптовалюты с помощью вредоносных программ, ориентированных на Windows и Mac устройства. Недавние исследования компании Huntress, опубликованные в июне 2025 года, выявили новый тип атаки, в ходе которой хакеры используют подделанные видеозаписи руководителей компаний в Zoom-звонках, чтобы убедить сотрудников установить вредоносное ПО на своих Mac.
Суть атаки заключается в том, что злоумышленники сначала связываются с сотрудником целевой компании через мессенджер Telegram, маскируясь под внешних специалистов и предлагая провести встречу. Для назначения видеовстречи они отправляют ссылку на якобы Google Meet, но на самом деле это поддельный домен Zoom, контролируемый злоумышленниками. При подключении к такому звонку жертва видит реалистичные дипфейковые видео знакомых топ-менеджеров, что значительно повышает доверие и снижает бдительность. В ходе звонка сотрудник сталкивается с проблемами работы микрофона. Чтобы «исправить» ситуацию, поддельные руководители рекомендуют установить расширение Zoom, якобы исправляющее неполадки.
Полученная через Telegram ссылка ведёт к загрузке AppleScript файла, который сначала открывает настоящую страницу Zoom SDK, создавая видимость правомерности, но затем скрипт выполняет скрытую команду загрузки и запуска вредоносного вторичного файла с внешнего сервера. Анализ стека вредоносного ПО показал несколько ключевых компонентов. Один из них — вредоносный имплант Telegram 2 — маскируется под легитимное обновление Telegram, подписанное на имя настоящего разработчика, что помогает обходить антивирусные программы и фильтры безопасности. Другой компонент, Root Troy V4, — это бэкдор, написанный на Go, обеспечивающий удалённое выполнение команд, командование во время сна устройства и загрузку дополнительных вредоносных модулей. Есть также специализированные инструменты для внедрения в память и для выполнения скрытого анализа — так называемый InjectWithDyld, который поддерживает шифрование и стирание следов вредоносных действий.
Модуль XScreen занимается сбором информации: перехватывает keystrokes, ведёт запись экрана и мониторит буфер обмена. Наконец, CryptoBot нацелен на кражу данных из криптовалютных кошельков — он поддерживает работу с более чем двадцатью платформами, извлекая важную информацию и шифруя её локально перед отправкой злоумышленникам. Особенность данной атаки состоит не только в технической сложности и широком спектре применяемого ПО, но и в социальной инженерии высочайшего уровня. Применение дипфейков для убеждения сотрудников в легитимности происходящего резко увеличивает шансы успешного заражения. Это особенно опасно для macOS, где многие пользователи до сих пор сдержанно относятся к вероятности заражения вредоносным ПО, считая платформу более защищённой, чем Windows.
Однако растущая популярность Mac в корпоративной среде меняет сложившиеся представления. Уязвимости и вредоносные программы для macOS становятся объектом пристального внимания киберпреступников. Действия BlueNoroff демонстрируют, что современные угрозы адаптируются к меняющимся ландшафтам и активно используют новые технологии и социальные инструменты для достижения своих целей. Многие компании недооценивают риски, связанные с установкой программного обеспечения, даже если это кажется учреждённым стандартным процессом для исправления технических неисправностей. Использование Telegram, поддельных ссылок и дипфейков создает атмосферу доверия, снижая внимание пользователей к потенциальным опасностям.
Важно активизировать программы обучения сотрудников кибербезопасности, повышая их осведомленность о современных методах социальной инженерии. Кроме того, техническая защита с помощью антивирусных систем и средств обнаружения вторжений должна быть обновлена и настроена с прицелом на выявление мультисоставных атак, сочетающих в себе сложное вредоносное ПО и психологические приемы обмана. Разработка систем анализа поведения и идентификации аномалий на рабочих местах поможет своевременно выявить подозрительную активность. В свете новых угроз, направленных на кражу криптовалюты, предприятия и частные пользователи должны придерживаться принципов многофакторной аутентификации, регулярного обновления программного обеспечения и ограничений на установку программ, приходящих из непроверенных источников. Контроль используемых коммуникационных каналов и внимательное отношение к ссылкам из мессенджеров снизит вероятность успешной атаки.
Значимость инцидента с BlueNoroff заключается также в демонстрации того, как авторитет и доверие становятся оружием в руках хакеров. Умение убедить цели в безопасности контакта — ключевой элемент успешной эксплуатации системы безопасности. Современное поколение дипфейков может создавать убедительные видео с речью и поведением известных людей, что в сочетании с тщательно выстроенной атакой заставляет жертв принять вредоносные решения. Отдельно следует отметить, что использование технологии Rosetta 2 для запуска x86_64-бинарников на Apple Silicon, реализуемое вредоносным ПО, свидетельствует о глубоком понимании особенностей macOS и постоянном совершенствовании техники заражения. Адаптация вредоносных программ под разные архитектуры устройств делает угрозу более универсальной.
Все эти детали указывают на высокий уровень подготовки и постоянное инвестирование ресурсов в отработку сложных атак. Следующая волна киберпреступлений неизбежно будет содержать элементы искусственного интеллекта и социального манипулирования, что требует от специалистов по кибербезопасности и рядовых пользователей постоянного повышения внимательности и грамотности. Резюмируя, атака BlueNoroff на устройства Mac с применением дипфейков и сложного вредоносного ПО подчеркивает необходимость комплексного подхода к кибербезопасности. Защитные меры должны включать технологические инструменты, обучение сотрудников и регулярный аудит безопасности инфраструктуры. Технологии, которые раньше казались атрибутами научной фантастики, теперь становятся реальными инструментами в арсенале киберпреступников, поэтому противостоять им можно лишь, используя инновационные и многогранные стратегии защиты.
Пользователи macOS, особенно в корпоративной среде, должны сохранять бдительность и не поддаваться на уловки, даже если источники информации кажутся знакомыми и заслуживающими доверия. Внимательное отношение к безопасности и своевременное обновление знаний помогут минимизировать последствия подобных сложных атак и сохранить безопасность данных и финансовых ресурсов.
