Campanha ligada à Coreia do Norte combina contas comprometidas no Telegram, reunião falsa, vetor ClickFix e múltiplas famílias de malware para coletar credenciais, dados de navegador e tokens de sessão em Windows e macOS.
| Componente | Organizações do setor de criptomoedas, usuários de Windows e macOS, contas de Telegram, navegador, iCloud Keychain, Telegram e Apple Notes |
| Vetor | Engenharia social por Telegram com impersonação de investidores, convite via Calendly, falso site de Zoom e instrução ClickFix apresentada como correção de áudio |
| Impacto | Coleta de informações do sistema, credenciais, dados de navegadores, tokens de sessão e dados de aplicativos para facilitar roubo financeiro |
| Prioridade | Bloquear fluxos de reunião suspeitos, investigar downloads iniciados por falso erro de áudio, revisar endpoints macOS e Windows e invalidar sessões expostas |
| Artefatos | WAVESHAPER, HYPERCALL, HIDDENCALL, DEEPBREATH, SUGARLOADER, CHROMEPUSH, SILENCELIFT e BIGMACHO |
| IoCs | Domínio de reunião falso observado como zoom.uswe05[.]us |
O UNC1069, grupo associado à Coreia do Norte e também conhecido na comunidade de segurança como CryptoCore e MASAN, foi observado em uma operação direcionada ao setor de criptomoedas com foco em furto financeiro. A atividade combina engenharia social, uso de contas comprometidas no Telegram, iscas relacionadas a reuniões de investimento e material visual possivelmente gerado ou manipulado com IA para convencer alvos de que estão participando de uma chamada legítima. O conjunto de alvos descrito inclui startups de criptomoedas, desenvolvedores de software ligados a instituições financeiras, empresas de alta tecnologia, exchanges centralizadas e pessoas vinculadas a fundos de venture capital.
A campanha representa uma ampliação operacional porque a intrusão documentada envolveu até sete famílias de malware em um único fluxo, incluindo componentes novos ou pouco descritos como SILENCELIFT, DEEPBREATH e CHROMEPUSH. A finalidade técnica não é apenas obter execução inicial: os componentes posteriores procuram coletar credenciais, dados de navegadores, tokens de sessão, informações do sistema e conteúdo de aplicativos específicos. Em macOS, a cadeia se destaca pela tentativa de manipular o banco de dados de privacidade TCC para ampliar acesso a arquivos e permitir extração de dados sensíveis de iCloud Keychain, Google Chrome, Brave, Microsoft Edge, Telegram e Apple Notes.
A etapa inicial ocorre por aproximação direta no Telegram. O operador se apresenta como investidor ou usa contas comprometidas de empreendedores e fundadores de startups para aumentar a confiança do alvo. Após o contato, a vítima recebe um agendamento de reunião de 30 minutos por Calendly ou um link enviado diretamente em mensagens. Em alguns casos, a função de hiperlink do Telegram é usada para ocultar a URL real, reduzindo a chance de o usuário perceber que a reunião não aponta para uma infraestrutura legítima de videoconferência.
Quando o link é aberto, o alvo é redirecionado para uma página que imita o Zoom, incluindo uma interface de chamada que solicita câmera e nome do participante. A página mostra um ambiente visual semelhante a uma reunião real. O conteúdo exibido pode incluir deepfakes ou gravações capturadas de vítimas anteriores, reutilizadas para sustentar a ilusão de uma conversa ao vivo. Essa técnica aumenta o tempo de permanência da vítima na página e prepara a transição para a próxima etapa, na qual um suposto problema de áudio aparece como justificativa para uma ação manual.
O erro falso leva a uma abordagem do tipo ClickFix: a vítima é instruída a executar uma correção de problema apresentada como necessária para restaurar o áudio. O comando operacional foi omitido, mas o efeito descrito no macOS é a entrega de um AppleScript que instala um binário Mach-O malicioso. Esse binário, chamado WAVESHAPER, coleta informações do sistema e distribui o downloader HYPERCALL, escrito em Go. A partir dele, a intrusão pode carregar cargas adicionais, incluindo HIDDENCALL, DEEPBREATH, SUGARLOADER, CHROMEPUSH e SILENCELIFT, cada uma com função distinta na persistência operacional, coleta ou controle remoto.
HIDDENCALL é descrito como um backdoor em Go com capacidade de acesso interativo ao sistema comprometido e implantação de um minerador de dados escrito em Swift, chamado DEEPBREATH. O DEEPBREATH tem função sensível em macOS porque manipula a base TCC, componente que controla permissões de privacidade para acesso a arquivos e dados de aplicativos. SUGARLOADER aparece como um segundo downloader em C++ usado para entregar CHROMEPUSH. SILENCELIFT é um backdoor minimalista em C/C++ que envia informações do sistema para um servidor de comando e controle. O histórico do grupo também inclui distribuição do backdoor BIGMACHO disfarçado como SDK do Zoom.
A superfície de risco concentra-se em usuários com exposição a relações de investimento, parcerias, captação, desenvolvimento Web3 e operações com ativos digitais. A campanha depende de confiança social e de contexto profissional convincente, portanto controles puramente baseados em reputação de domínio podem falhar quando o primeiro contato vem de uma conta real comprometida. O uso de Calendly e Telegram como pontos de aproximação também dificulta a triagem, porque ambos podem fazer parte de fluxos legítimos de negócios.
Em endpoints macOS, a cadeia merece prioridade quando há execução recente de AppleScript, criação de binários Mach-O em locais de usuário, solicitações anômalas de permissão e acesso inesperado a repositórios de credenciais ou bancos de dados de aplicativos. Em Windows, o contexto confirma que sistemas Windows também são alvo para furto de dados sensíveis, embora os detalhes da cadeia descrita se concentrem no fluxo macOS. A defesa deve tratar qualquer reunião recebida por Telegram que leve a um falso Zoom e a uma correção manual de áudio como evento de alto risco.
- Setor visado: organizações de criptomoedas, exchanges centralizadas, desenvolvedores de software financeiro, empresas de alta tecnologia e fundos de venture capital
- Canais usados: Telegram, contas comprometidas, Calendly e páginas falsas de videoconferência
- Infraestrutura observável: domínio de reunião falso zoom.uswe05[.]us
- Aplicativos e dados visados em macOS: iCloud Keychain, Chrome, Brave, Edge, Telegram e Apple Notes
A caça deve começar pelo encadeamento de identidade e navegação: mensagens de Telegram recebidas de contatos recentemente comprometidos, URLs mascaradas por hiperlink, redirecionamentos para domínios que imitam Zoom e páginas que solicitam câmera antes de apresentar erro de áudio. Em gateways, proxies e EDR, a correlação entre acesso ao domínio defangado, download subsequente e execução de AppleScript ou binário Mach-O é mais útil do que procurar apenas uma família de malware isolada. A presença de múltiplos componentes no mesmo host indica esforço de coleta agressiva e pode produzir sinais em processos, arquivos temporários, conexões de saída e acessos a bases de dados de aplicativos.
Em macOS, a manipulação do TCC é um sinal crítico. A defesa deve revisar alterações incomuns em permissões de privacidade, acesso a diretórios de navegadores e tentativas de leitura de materiais ligados a chaves, sessões ou perfis de usuário. Também é importante correlacionar processos que acessam dados de navegadores com conexões externas para infraestrutura desconhecida. Em ambientes com usuários de alto valor, como equipes de tesouraria, engenharia de carteiras, pesquisa Web3 e fundos de investimento, a análise deve incluir invalidação preventiva de sessões quando houver indício de execução do fluxo ClickFix.
- Acesso a páginas de reunião que imitam Zoom e usam domínio parecido com infraestrutura legítima
- Execução de AppleScript após falso erro de áudio em página de chamada
- Criação ou execução de binários Mach-O associados a coleta de informações do sistema
- Alterações anômalas no banco TCC do macOS ou novas permissões de acesso a arquivos
- Leitura incomum de perfis de Chrome, Brave, Edge, Telegram, Apple Notes ou iCloud Keychain
A resposta deve priorizar contenção de endpoint e identidade. Máquinas que passaram pelo fluxo de reunião falsa precisam ser isoladas para coleta forense, com foco em processos recentes, artefatos de AppleScript, binários Mach-O, downloaders e conexões externas. Como a cadeia busca credenciais e tokens de sessão, a limpeza do host não é suficiente: sessões ativas devem ser invalidadas, credenciais de contas corporativas e pessoais usadas no dispositivo precisam ser rotacionadas conforme risco, e contas de Telegram usadas no contato inicial devem ser verificadas quanto a comprometimento.
No controle preventivo, organizações de criptomoedas devem exigir verificação fora de banda para reuniões de investimento ou parceria recebidas por mensageria, bloquear domínios que imitam plataformas de videoconferência e restringir execução de scripts iniciados por instruções copiadas de páginas web. Em macOS, políticas de MDM e EDR devem monitorar tentativas de alteração do TCC e acesso a repositórios de credenciais. A educação do usuário deve ser objetiva: falhas de áudio em navegador não exigem execução de comandos locais nem instalação de componentes fora do fluxo oficial do fornecedor.
- Isolar endpoints que acessaram o falso Zoom ou executaram a correção de áudio
- Invalidar tokens de sessão e revisar acessos a contas usadas no dispositivo afetado
- Bloquear domínios de reunião semelhantes a Zoom quando não pertencerem à infraestrutura legítima
- Monitorar AppleScript, binários Mach-O e alterações no TCC em hosts macOS
- Verificar reuniões sensíveis por canal independente antes de aceitar links recebidos no Telegram
0 Comentários