CoinFubi

据事件响应人员的最新报告，朝鲜黑客针对一家加密货币公司的官员展开攻击，部署了多种独特的恶意软件并伴随多起诈骗手段，其中还包括一次假Zoom会议。Google旗下的Mandiant对最近针对UNC1069——一个以金钱为动机、据称来自朝鲜的威胁行为者——的攻击进行了详细评估，其突出之处在于对受害者的高度定制化和针对性。黑客最初通过Telegram联系受害者，使用另一名加密货币高管的被盗账号。受害者收到一个Calendly链接，安排30分钟的会议，链接中包含一个Zoom会议入口。

受害者表示，在通话过程中，看到了一段看似来自另一家加密货币公司CEO的视频，似乎是深度伪造的。Mandiant解释说，虽然在本次事件中无法取得法证证据以独立验证AI模型的使用，但披露的伪装手法与此前公开报道、具有类似特征的事件类似，当时也被指称使用了深度伪造。

通话期间，黑客声称存在音频问题，随后要求受害者在设备上执行若干操作以所谓地解决问题。这些指令实为掩盖ClickFix攻击——一种通过让受害者尝试解决虚构技术问题来在设备上安装恶意软件的技术手段。

在此案中，受害者被引导至一个包含macOS和Windows系统故障排除指引的网页。指令串中嵌入的一行启动了感染链。受害者按指令操作，导致其macOS设备被感染。首批恶意文件WAVESHAPER和HYPERCALL被Mandiant识别为后门，允许黑客安装其他工具并扩大在受害者设备上的控制权。

Mandiant表示，威胁行为者发现了两种数据提取工具，分别名为DEEPBREATH与CHROMEPUSH。DEEPBREATH使黑客能够窃取凭据、浏览器数据、来自Telegram的用户数据，以及Apple Notes中的其他数据。恶意软件会把所有信息压缩成ZIP归档并将其外发至远程服务器。CHROMEPUSH是一种伪装成用于离线编辑Google Docs的无害浏览器扩展的恶意工具。