У 2025 році група BlueNoroff, фінансове крило Lazarus Group, що пов’язане з КНДР, почала використовувати платформу Zoom як інструмент атак. Зловмисники маскуються під бізнес-партнерів і через підроблені відеодзвінки встановлюють шкідливе ПЗ, яке краде криптовалюту та інші фінансові дані.
У 2025 році група BlueNoroff, фінансове крило Lazarus Group, що пов’язане з КНДР, почала використовувати платформу Zoom як інструмент атак. Зловмисники маскуються під бізнес-партнерів і через підроблені відеодзвінки встановлюють шкідливе ПЗ, яке краде криптовалюту та інші фінансові дані.
Як повідомляє Cybersecurity News, інфекція починається з соціальної інженерії: зловмисники призначають фальшиві Zoom-зустрічі, під час яких надсилають «аудіофікс». Це скрипт, який нібито має допомогти з проблемами звуку. Насправді ж він містить AppleScript з понад 10 000 порожніх рядків, аби приховати справжній шкідливий код. На 10 017–10 018 рядках скрипт виконує curl-запит до фішингового домену zoom-tech[.]us та завантажує основний інфостілер.
Зараження включає кілька етапів і використовує просунуті методи маскування. Наприклад, компоненти з назвами на кшталт icloud_helper або Wi-Fi Updater імітують системні утиліти, а тимчасові файли автоматично видаляються, щоб ускладнити аналіз інциденту. Шкідливе ПЗ прописується в LaunchDaemon, що дає йому права адміністратора й забезпечує автозапуск при завантаженні системи.
Метою атаки стало викрадання криптовалютних гаманців, даних браузера та ключів автентифікації. У зоні ризику фінтех, онлайн-гемблінг, ігрові компанії у Північній Америці, Європі та Азії. Зокрема, 28 травня 2025 року зафіксовано атаку на онлайн-казино в Канаді, один із найвиразніших прикладів зрілості тактики BlueNoroff.
Це не перша поява BlueNoroff у заголовках. Раніше група вже атакувала криптокомпанії через фішингові листи й заражені документи. У новій кампанії вони адаптувались до реалій гібридної роботи, використовуючи легітимні платформи для підвищення довіри. Як зазначають у Field Effect, подібні атаки стають дедалі частішими й складнішими, захист вимагає не лише технічних засобів, а й підготовки персоналу до соціальної інженерії.
Нещодавно ми також писали про те, як Cloudflare повідомила про атаку, в ході якої зловмисники намагалися залити один сервер обсягом даних, еквівалентним 9 тисячам HD-фільмів. Компанія успішно заблокувала найбільшу в історії DDoS-атаку.
