Peretas Korea Utara menggunakan malware macOS baru dalam serangan pencurian kripto

Peretas Korea Utara menjalankan kampanye yang disesuaikan menggunakan video yang dihasilkan AI dan teknik ClickFix untuk mengirimkan malware untuk macOS dan Windows ke target di sektor mata uang kripto.

Sasaran pelaku ancaman adalah finansial, seperti yang terlihat dari peran alat yang digunakan dalam serangan terhadap perusahaan fintech yang diselidiki oleh peneliti Mandiant Google.

Selama respons, para peneliti menemukan tujuh keluarga malware macOS yang berbeda dan mengaitkan serangan tersebut dengan UNC1069, kelompok ancaman yang telah mereka lacak sejak 2018.

Rantai infeksi

Serangan tersebut memiliki komponen rekayasa sosial yang kuat karena korban dihubungi melalui layanan pesan Telegram dari akun seorang eksekutif di sebuah perusahaan mata uang kripto yang telah disusupi.

Setelah membangun hubungan baik, para peretas membagikan tautan Calendly yang membawa korban ke halaman pertemuan Zoom palsu di infrastruktur penyerang.

Menurut target, para peretas menunjukkan video deepfake dari seorang CEO di perusahaan cryptocurrency lain.

“Saat dalam ‘pertemuan’, panggilan video palsu memfasilitasi tipu muslihat yang memberikan kesan kepada pengguna akhir bahwa mereka mengalami masalah audio,” Mandiant kata peneliti.

Dengan dalih ini, penyerang menginstruksikan korban untuk memecahkan masalah menggunakan perintah yang ada di halaman web. Mandiant menemukan perintah di halaman untuk Windows dan macOS yang akan memulai rantai infeksi.

Peneliti Huntress mendokumentasikan a metode serangan serupa pada pertengahan tahun 2025 dan mengaitkannya dengan kelompok BlueNoroff, musuh Korea Utara lainnya yang juga dikenal sebagai Sapphire Sleet dan TA44, yang menargetkan sistem macOS menggunakan serangkaian muatan berbeda.

perangkat lunak jahat MacOS

Peneliti Mandiant menemukan bukti eksekusi AppleScript setelah rantai infeksi dimulai, namun tidak dapat memulihkan konten payload, yang diikuti dengan penerapan biner Mach-O yang berbahaya. Pada tahap berikutnya, penyerang mengeksekusi tujuh keluarga malware yang berbeda:

1. PEMBENTU GELOMBANG – Pintu belakang C++ yang berjalan sebagai daemon latar belakang, mengumpulkan informasi sistem host, berkomunikasi dengan C2 melalui HTTP/HTTPS menggunakan curl, dan mengunduh serta mengeksekusi payload lanjutan.
2. HIPERPanggilan – Pengunduh berbasis Golang yang membaca file konfigurasi terenkripsi RC4, terhubung ke C2 melalui WebSockets pada TCP 443, mengunduh pustaka dinamis berbahaya, dan secara reflektif memuatnya ke dalam memori.
3. PANGGILAN TERSEMBUNYI – Pintu belakang berbasis Golang secara reflektif disuntikkan oleh HYPERCALL yang menyediakan akses keyboard langsung, mendukung eksekusi perintah dan operasi file, dan menyebarkan malware tambahan.
4. LIFT SILENCE – Pintu belakang minimal C/C++ yang menjadi host informasi dan mengunci status layar ke server C2 berkode keras dan dapat mengganggu komunikasi Telegram ketika dijalankan dengan hak akses root.
5. NAFAS DALAM – Penambang data berbasis Swift yang diterapkan melalui HIDDENCALL yang melewati perlindungan macOS TCC dengan memodifikasi database TCC untuk mendapatkan akses sistem file yang luas dan mencuri kredensial rantai kunci, data browser, data Telegram, dan data Apple Notes.
6. SUGARLOADER – Pengunduh C++ yang menggunakan konfigurasi terenkripsi RC4 untuk mengambil payload tahap berikutnya dan dibuat persisten melalui daemon peluncuran yang dibuat secara manual.
7. KROMEPUSH – Penambang data browser C++ yang diterapkan oleh SUGARLOADER yang dipasang sebagai host perpesanan asli Chromium yang menyamar sebagai ekstensi Google Documents Offline dan mengumpulkan penekanan tombol, kredensial, cookie, dan tangkapan layar opsional.

Dari malware yang ditemukan, SUGARLOADER memiliki deteksi terbanyak pada platform pemindaian VirusTotal, diikuti oleh WAVESHAPER, yang ditandai hanya pada dua produk. Sisanya tidak ada dalam basis data malware platform.

Mandiant mengatakan bahwa SILENCELIFT, DEEPBREATH, dan CROMEPUSH mewakili seperangkat alat baru untuk pelaku ancaman.

Para peneliti menggambarkan volume malware yang disebarkan pada sebuah host terhadap satu individu merupakan hal yang tidak biasa.

Hal ini menegaskan serangan yang ditargetkan berfokus pada pengumpulan data sebanyak mungkin karena dua alasan: “pencurian mata uang kripto dan memicu kampanye rekayasa sosial di masa depan dengan memanfaatkan identitas dan data korban,” kata Mandiant.

Sejak tahun 2018, UNC1069 telah menunjukkan kemampuannya untuk berkembang dengan mengadopsi teknik dan alat baru. Pada tahun 2023, pelaku kejahatan beralih ke target di industri Web3 (bursa terpusat, pengembang, dana modal ventura).

Tahun lalu, pelaku ancaman mengubah targetnya ke layanan keuangan dan industri mata uang kripto di sektor vertikal seperti pembayaran, perantara, dan infrastruktur dompet.