Eine Gruppe, die mit Nordkorea verbunden ist, die in der Cyber-Sicherheits-Gemeinschaft als UNC1069 bekannt ist - auch unter den Namen CryptoCore und MASAN - hat ihre Bemühungen gegen das Kryptomoneda-Ökosystem mit sehr anspruchsvollen Social Engineering-Taktiken kombiniert mit modernen Werkzeugen wie künstliche generative Intelligenz verstärkt. Laut dem Google- und Mandiant-Drohungsdienst suchen diese Operationen nicht nur einen zeitnahen Zugriff: Sie sind darauf ausgelegt, Anmeldeinformationen, Sitzungs-Token und Material zu erhalten, die die Ableitung digitaler Gelder direkt oder indirekt ermöglichen. Die Sorge ist zweifach: einerseits die Genauigkeit der Lures und andererseits die Vielfalt der schädlichen Lasten, die auf eine kompromittierte Maschine fallen können. Für den Google / Mandiant-Bericht sehen Sie die technische Note auf dem Google Cloud-Blog: UNC1069 Ziele Kryptowährung, AI@-@ aktiviert Social Engineering.
Der von Analysten beschriebene Modus operandi beginnt mit einem Kontakt von Telegram. Die Angreifer, manchmal mit legitimen engagierten Konten, posieren als Investoren oder Gründer und schlagen ein Treffen vor. Um den Termin zu schließen, verwenden sie legitime Tools wie Calendly; die Einladung enthält einen Link, der auf eine Seite umleitet, die Zoom imitiert. Dieser Link führt nicht zu einem sicheren Treffen, sondern zu einem webbasierten Trapper, der eine videobasierte Schnittstelle reproduziert und in vielen Fällen ein Video zeigt, das als Gesprächspartner erscheint. Frühere Forschung hat die Verwendung von Audio-visuellen Material, das von IA erzeugt wird, dokumentiert oder wiederverwendete Aufnahmen verwendet, um die Illusion einer Live-Session zu stärken.
Wenn das Opfer "enters" dieses falsche Zimmer, wird er gebeten, die Kamera zu beleuchten und seine Identität zu bestätigen. Dann erscheint ein technischer Vorwand - ein angeblicher Audiofehler - und ein Assistent auf der Seite bietet eine schnelle Lösung: Führen Sie einen Befehl oder Installer, um das Problem zu beheben. Dieser Schritt ist die Falle, die Malware entfaltet. In macOS führt der Vektor zu einem AppleScript, das eine Mach-O binär herunterlädt; in Windows dreht sich der Fluss zu Ausführungs- und Downloads, die als Gateway zu einer kompletten Kette von schädlichen Werkzeugen dienen.
Mandiant-Forscher entdeckten bis zu sieben verschiedene Familien von Malware in einer einzigen Intrusion, viele von ihnen neu zum Repertoire der Gruppe. Mit Namen wie WAVESHAPER, HYPERCALL, HIDDENCALL, DEEPBREATH, SUGARLOADER, CHROMEPUSH und SILENCELIFT kombiniert die Infrastruktur C + + und Go, Backdoors, die Fernsteuerung und spezifische Komponenten für Macs und Browser-Erweiterungen ermöglichen. Das Schema ist klar: Zuerst wird ein Download installiert, dann werden Backdoors artikuliert, die direkten Zugriff erlauben und schließlich Module entwickelt, um Anmeldeinformationen zu filtern und sensible Daten laufen.
Insbesondere steht DEEPBREATH für seine Fähigkeit, die MacOS Permission Database (TCC) zu manipulieren, um auf geschützte Elemente wie die iCloud-Taste zuzugreifen, sowie Browserdaten (Cookies, Passwörter) und Anwendungen wie Telegram oder Apple Notes. CHROMEPUSH fungiert für seinen Teil als eine bösartige Erweiterung, die in Browsern wie Chrome und Brave als Offline-Editor von Google Docs installiert ist; seine Funktion umfasst Schlüsselregistrierung, Benutzereintragserfassung und Cookie-Diebstahl zu entführt Sitzungen. Mit anderen Worten, die Kombination dieser Komponenten erleichtert sowohl die direkte Diebstahl von privaten Schlüsseln oder Anmeldeinformationen und die Entführung von Sitzungen, um digitale Assets zu bewegen.
Einer der Gründe, warum diese Angriffe so viel Aufmerksamkeit erregt haben, ist der Einsatz von Social Engineering-Techniken, die durch die IA verbessert wurden. Google hat die Verwendung von generativen Modellen - wie die von seiner eigenen Plattform angeboten - zur Erstellung von Konzeptnachrichten, spielen glaubwürdige Stimmen oder Gesichter, und sogar versuchen, Code zu schreiben, der in der Lage ist, Vermögenswerte zu extrahieren. Diese Nutzung der IA reduziert die Kosten und erhöht die Lautstärke, wodurch Führungskräfte, Entwickler und Sicherheitsteams noch anfälliger. Für diejenigen, die sich vertiefen wollen, wie staatliche Akteure moderne Werkzeuge integrieren, bietet die Mandiant-Datei zusätzliche Ressourcen und Berichte: Personalressourcen.
Die potenziellen Auswirkungen sind besonders gefährlich für Unternehmen und Profis in der kritischen Welt. Ein einziger kompromittierter Browser oder ein gestohlenes Session-Cookie ermöglicht es einem Angreifer, auf zentrale Austauschplattformen (CEX), Portfolioverwaltungsschnittstellen oder Servicekonten zuzugreifen, die Zugriffsschlüssel halten. Darüber hinaus fügt die Praxis der Wiederaufnahme von Aufnahmen früherer Opfer - von verschiedenen Lieferanten als eine Methode der Betrug dokumentiert - eine leistungsfähige psychologische Schicht hinzu: "ein bekanntes Gesicht" zu sehen oder zu hören "die Stimme von jemand real" reduziert Verdacht und erhöht das Vertrauen von denen, die die Einladung empfangen. Kaspersky und andere Anbieter haben Kampagnen in diesem Stil berichtet, in dem das Videoreplay genau dazu diente, mehr Opfer zu überzeugen; mehr Informationen über spezialisierte Kanäle wie Kasperskys Blog: Kaspersky Security Blog.
Was können Unternehmen und Profis tun, um Risiken zu mindern? Überprüfen Sie zunächst den Ursprung einer Einladung, um zu treffen, insbesondere wenn es durch Kanäle wie Telegram kommt oder wenn es offensichtliche Adressen an Drittanbieter-Dienste beinhaltet. Führen Sie keine Befehle aus, die von einer zweifelhaften Website kommen oder installieren Sie Tools, ohne die Signatur und den Ursprung zu überprüfen. In macOS ist es angebracht, die TCC-Berechtigungen regelmäßig zu überprüfen, den Zugriff auf die Schlüsselkette zu begrenzen und Passwörter und Authentifizierung in zwei robusten Faktoren zu verwenden; in der kritischen Welt wird empfohlen, die Geräte zu trennen, die Schlüssel von denen speichern, die für Kommunikation und Navigation verwendet werden, und priorisieren physische Schlüssel für 2FA, wo möglich. Endpunkte und Netzwerktelemetrieerkennungstools, die anormale Verhaltensweisen identifizieren - ungewöhnliche Downloads, ausgehende Verbindungen zu C2-Servern, nicht autorisierte Erweiterungsinstallation - sind eine weitere wichtige Barriere. Für allgemeine Leitlinien zu defensiven Maßnahmen und wie auf Intrusionen reagieren, bieten öffentliche Cybersicherheitsbehörden nützliche Anleitungen, beginnend auf der CISA-Website: CISA.
Jenseits der unmittelbaren Aktion zeigen diese Fälle einen größeren Trend: Die Sicherheitsindustrie läuft nicht mehr nur hinter technischen Exploits; die Gegner kombinieren psychologisches Engineering, legitime Plattformen und IA-Automatisierung, um hochglaubwürdige Angriffe zu schaffen. Die Reaktion erfordert nicht nur Patches und Erkennungen, sondern Weiterbildung, strenge Identitätskontrollen und einen Schichtsicherheitsansatz, der die Angriffsfläche in Finanz- und Entwicklungsumgebungen reduziert.
Wenn Sie an einem kritischen Startup, einem Risikokapitalunternehmen oder Entwicklungsteams arbeiten, die mit digitalen Assets interagieren, ist es angebracht, diese Warnung als Erinnerung zu nehmen: es ist gültige Einladungen, Misstrauen von Shortcuts, die externe Tools zu betreiben und Ihre kritischen Assets in Geräte und Prozesse zu trennen, die Sie nicht für tägliche Aufgaben verwenden. Die Bedrohung ist real und entwickelt sich schnell; das Halten von Informationen und die Anwendung von Grundkontrollen kann den Unterschied zwischen der Vermeidung von Intrusion und einem Vermögensdiebstahl machen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...