В современном цифровом мире безопасность становится приоритетом для каждого, кто взаимодействует с технологиями. Особенно уязвимы пользователи и организации, связанные с криптовалютой, поскольку именно эта сфера привлекает мошенников и хакеров своей финансовой привлекательностью. Недавно стало известно о масштабной и крайне сложной хакерской кампании, направленной именно против пользователей Mac, работающих с криптоактивами. Расследование, проведённое компанией Huntress, раскрывает детали одной из самых изощрённых атак, в которой использовались инновационные технологии, такие как глубинные подделки видео (deepfake) и специализированное вредоносное программное обеспечение, адаптированное под macOS. Атака была обнаружена в июне 2025 года, когда один из партнёров Huntress зафиксировал необычную активность в своей сети.
После тщательного анализа стало ясно, что за атакой стоит известная северокорейская хакерская группа BlueNoroff, также известная под названиями Sapphire Sleet и TA444, которая с 2017 года фокусируется на финансовом вредоносном ПО и атаках на криптовалютный сектор. Их новая кампания выдала высокий уровень подготовки и использовании технологий, которые ранее редко встречались в подобных атаках. Главной особенностью операции стала таргетированность на пользователей macOS — платформу, которую многие считают менее подверженной хакерским атакам. Преступники использовали глубокие технологии фейк-видео, чтобы наглядно имитировать топ-менеджмент и ключевых сотрудников компании через поддельные Zoom-встречи. Злоумышленники тщательно готовились, чтобы провести успешный социальный инженеринг, вводя жертв в заблуждение, создавая доверительную атмосферу и заставляя их выполнять вредоносные действия.
Вся схема начиналась с сообщения в Telegram, отправленного нацеленной жертве — сотруднику криптовалютного фонда или компании. В сообщении содержалась просьба назначить встречу, а также ссылка на веб-ресурс для планирования онлайн-встреч под видом сервиса Calendly. Однако реальная цель заключалась в том, чтобы направить пользователя на поддельный Zoom-сервер, управляемый хакерами. Спустя несколько недель жертва получила приглашение на виртуальное совещание, где вместо реальных руководителей демонстрировались тщательно разработанные видео-имитации. В течение встречи пользователю запрещали использовать микрофон и предписывали скачать и установить расширение для Zoom, якобы для устранения технических неполадок.
Загруженное расширение на самом деле оказалось AppleScript-файлом с названиями zoom_sdk_support.scpt, который маскировался под легитимный инструмент. При запуске он открывал официальный сайт Zoom SDK, чтобы вызвать доверие и избежать подозрений, но через большое количество пустых строк в коде он загружал и запускал вредоносный модуль с контролируемого хакерами сервера. Когда специалисты Huntress начали расследование, основной вредоносный файл уже был удалён, однако была найдена его копия в открытой базе данных VirusTotal, которая предоставила важную информацию для анализа. Выяснилось, что вредоносное ПО отключало ведение истории команд в терминале bash и проверяло наличие Rosetta 2 — компонента, позволяющего запускать программы, ориентированные на архитектуру x86_64, на новых процессорах Apple Silicon.
Если утилита отсутствовала, она устанавливалась незаметно для пользователя, чтобы обеспечить запуск основного вредоносного кода. Далее создавался скрытый файл .pwd, а имитация загрузки происходила в временную папку /tmp под именем icloud_helper. Отличительной чертой атаки стал сложный, специально разработанный пакет вредоносных программ, состоящий минимум из восьми компонентов, каждый из которых был адаптирован под macOS и выполнял строго определённые функции. В этом наборе присутствовали устойчивый бинарный файл, работающий через Telegram для запуска основного бэкдора, полнофункциональный бэкдор Root Troy V4, позволяющий загружать и запускать дополнительные модули, загрузчик, написанный на C++, мягкое приложение на Swift, служащее для внедрения вредоносного кода, кейлоггер, записывающий каждое нажатие клавиш и другую активность, а также специальные инструменты для сбора данных, связанных с криптовалютой.
Особое внимание стоит уделить механизмам обхода систем защиты macOS. Вредоносное ПО запускало свои функции лишь в те моменты, когда экран компьютера был выключен, что значительно снижало шансы быть обнаруженным пользователем. Кроме того, подмена процессов через AppleScript и внедрение кода в легитимные программы помогали обойти встроенные механизмы безопасности операционной системы. Эта кампания ясно демонстрирует, как меняется ландшафт киберугроз. Долгое время macOS считалась более защищённой платформой по сравнению с Windows, что привело к меньшему вниманию со стороны хакеров.
Однако рост популярности Mac в бизнес-среде и дистанционной работе сделал его привлекательной целью для злоумышленников. Стало очевидно, что государственные группы, такие как BlueNoroff, проводят глубокие исследования и создают высокотехнологичные атаки, способные обмануть даже искушённых пользователей и защищённые системы. Для компаний, работающих с криптовалютой, соблюдение правил корпоративной безопасности и повышение осведомлённости сотрудников становится критическим. Необходимо внедрять многоуровневую защиту, включая обучение персонала методам распознавания социальной инженерии, использование многофакторной аутентификации, а также регулярное обновление программного обеспечения и антивирусных систем. Особое внимание стоит уделить контролю доступа к внешним программным ресурсам и проверке всех подозрительных вложений или ссылок, особенно если они поступают через мессенджеры или электронную почту.
Кроме того, важно помнить о рисках, связанных с использованием видеоконференций. Даже если это кажется безопасным и привычным способом коммуникации, злоумышленники научились создавать сложные иллюзии, способные ввести в заблуждение и вызвать доверие. Настойчивое требование устанавливать непроверенное ПО или расширения должно всегда вызывать подозрения. Раскрытие такой масштабной и технически продвинутой атаки ещё раз подчеркивает необходимость комплексной и адаптивной кибербезопасности. В эпоху цифровых технологий и быстрых инноваций ни одна платформа не может считаться полностью защищённой.
Успех преступников часто зависит от умения сочетать технические приёмы с психологическими трюками, а значит, только всесторонний подход и постоянное обновление знаний помогут противостоять современным угрозам.
