Para ahli telah memperingatkan bahwa sebuah kampanye siber baru yang menggunakan aplikasi Zoom palsu tengah menargetkan berbagai organisasi di Amerika Utara, Eropa, dan Asia-Pasifik.
Kampanye siber ini, yang dikaitkan dengan para peretas Korea Utara, dikaitkan dengan BlueNoroff Group, afiliasi terkenal dari Lazarus Group yang terkenal kejam, dan memalsukan layanan konferensi video yang sah dari Zoom untuk mengelabui para korban.
Operasi yang difokuskan terutama pada sektor permainan, hiburan, dan teknologi finansial ini tampaknya terkoordinasi dengan cermat dan bertujuan untuk membahayakan dompet mata uang kripto dan data keuangan sensitif lainnya.
Cara kerja serangan
Operasi dimulai dengan AppleScript yang menipu, yang dirancang agar tampak seperti sedang melakukan pemeliharaan rutin Zoom SDK.
Analis menemukan skrip tersebut diisi dengan sekitar 10.000 baris kosong untuk menyembunyikan perintah jahat yang terkubur jauh di dalamnya.
Perintah-perintah ini, yang ditemukan pada baris 10.017 dan 10.018, menggunakan permintaan curl untuk mengunduh malware secara diam-diam dari domain palsu: zoom-tech[.]us.
Setelah terinstal, malware tersebut menanamkan dirinya ke dalam sistem menggunakan konfigurasi LaunchDaemon yang mengeksekusi muatan jahat saat memulai dengan hak istimewa yang lebih tinggi.
Komponen tambahan kemudian diambil dari infrastruktur yang disusupi dan disamarkan sebagai alat macOS normal seperti “icloud_helper” dan “Wi-Fi Updater.”
Komponen-komponen ini menghapus jejak file sementara dan folder staging, menggunakan metode anti-forensik untuk menghindari deteksi sambil mempertahankan akses backdoor untuk perintah jarak jauh dan pencurian data.
Metode ini memanfaatkan skenario kerja dari rumah yang umum di mana gangguan teknis diselesaikan dengan cepat dan sering kali dengan pengawasan minimal.
Malware tersebut melampaui pencurian kredensial sederhana. Malware tersebut secara aktif mencari ekstensi dompet mata uang kripto, login browser, dan kunci autentikasi, yang mengonfirmasi fokus BlueNoroff yang berkelanjutan pada keuntungan finansial.
Dalam satu kasus yang terdokumentasi, sebuah perusahaan perjudian daring Kanada menjadi sasaran pada tanggal 28 Mei, ketika penyerang menggunakan skrip pemecahan masalah Zoom palsu untuk menanam malware tersebut.
Untuk tetap aman, verifikasi peserta rapat Zoom secara independen, blokir domain yang mencurigakan, dan gunakan perlindungan titik akhir karena penyerang sekarang menggunakan platform tepercaya dan alur kerja yang familier untuk melewati perlindungan dasar.
Penting juga untuk memilih perangkat lunak antivirus dan perlindungan ransomware terbaik, terutama bagi organisasi dengan aset digital atau aset kripto.
Perusahaan harus mengadopsi perlindungan pencurian identitas untuk memantau data dan kredensial yang terekspos, melatih staf tentang risiko rekayasa sosial, dan mengamankan perangkat mata uang kripto dengan dompet perangkat keras.
