UNC1069 Ataca Setor de Criptomoedas com Novo tooling e Engenharia Social Habilitada por IA

A Mandiant atribuiu uma intrusão contra uma entidade FinTech ao UNC1069, um ator de ameaças financeiramente motivado com ligação à Coreia do Norte (DPRK), que utilizou uma conta comprometida do Telegram, uma reunião Zoom falsificada com um vídeo deepfake reportado, e um ataque ClickFix para implantar sete famílias de malware em um dispositivo macOS — incluindo as novas ferramentas SILENCELIFT, DEEPBREATH e CHROMEPUSH. A cadeia de ataque progrediu do backdoor WAVESHAPER através do downloader HYPERCALL para implantar o HIDDENCALL para acesso hands-on keyboard. O DEEPBREATH contornou as proteções TCC do macOS para roubar credenciais do Keychain, dados de navegador e sessões do Telegram, e o CHROMEPUSH instalou uma extensão maliciosa do Chrome para keylogging e roubo de cookies. A investigação destaca o uso crescente do UNC1069 de ferramentas GenAI como Gemini e GPT-4o para engenharia social, juntamente com uma significativa atualização de tooling, visando startups de criptomoedas, desenvolvedores de software e empresas de capital de risco.