Neue BlueNoroff-Kampagne nutzt Fileless PowerShell und KI-generierte Zoom-Lures

Der Angriff beginnt mit einer Spear-Phishing-E-Mail. Der Bedrohungsakteur gibt sich als Rechtsexperte im Fintech-Bereich aus und sendet dem Ziel eine Calendly-Einladung.

Sobald das Opfer das Meeting bestätigt, ersetzt der Angreifer leise den Google Meet-Link durch eine typo-squatted Zoom-URL, die so gestaltet ist, dass sie nahezu identisch mit einer echten aussieht.

Als das Opfer auf den gefälschten Link klickt, lädt der Browser eine eigenständige HTML-Seite, die exakt wie die Zoom-Meeting-Oberfläche aussieht, komplett mit gefälschten Teilnehmer-Videokacheln, Schleifenmaterial und einem wechselnden aktiven Sprecherindikator.

Analysten Infiltration gegen ein nordamerikanisches Web3-

Analysten Infiltration gegen ein nordamerikanisches Web3- und Kryptowährungsunternehmen und führten sie mit hoher Wahrscheinlichkeit auf BlueNoroff zurück, das auch als APT38, Sapphire Sleet und Stardust Chollima verfolgt wird.

Forscher fanden heraus, dass die gesamte Angriffskette, vom anfänglichen Klick bis zum vollständigen Systemkompromittierung, in weniger als fünf Minuten abgeschlossen war.

Die forensische Analyse bestätigte, dass der Angreifer über lang persistenten Zugriff auf das Gerät des Opfers behielt und Browser-Anmeldeinformationen, Telegram-Sitzungsdaten und Live-Webcam-Aufnahmen stahl, die dann wiederverwendet wurden, um überzeugendere Köder für zukünftige Ziele zu erstellen.

Was diese Kampagne besonders schädlich macht,

Was diese Kampagne besonders schädlich macht, ist ihre sich selbst verstärkende Deepfake-Produktionspipeline.

Analysten entdeckten auf dem Hosting-Server des Angreifers über 950 Dateien, darunter KI-generierte Porträtbilder, die mittels C2PA-kryptografischem Metadaten als Outputs des OpenAI-Modells GPT-4o bestätigt wurden, echte Webcam-Aufnahmen, die üheren Opfern gestohlen wurden, und Deepfake-Kompositvideos.

DM-Screenshot, der ein kompromittiertes Telegram-Konto zeigt, das ein früheres Opfer nachahmt (Quelle – Arctic Wolf). Jeder erfolgreiche Angriff liefert Rohmaterial für den nächsten und macht zukünftige Treffen überzeugender.

CEOs und Gründer machen 45 %

CEOs und Gründer machen 45 % aller identifizierten Ziele aus und spiegeln BlueNoroffs Fokus auf Einzelpersonen mit direktem Zugriff auf Krypto-Assets und Wallet-Infrastruktur wider.

Die ClickFix-Payload-Übermittlung Sobald das Opfer in das gefälschte Zoom-Meeting eintritt, erscheint ein permanentes Overlay, das behauptet, das SDK des Benutzers sei veraltet und benötige ein Update. Dies ist ein ClickFix-artiger Clipboard-Injektionsangriff.

Das Opfer sieht scheinbar harmlose Diagnosebefehle und wird angewiesen, diese in das Ausführen-Dialogfeld zu kopieren und einzufügen. Was sie nicht wissen, ist, dass die Seite den Inhalt der Zwischenablage im Moment des Kopierens stillschweigend durch einen versteckten PowerShell-Ausführungsbefehl ersetzt.

Zoom-gebrandete gefälschte Meeting-Oberfläche mit „SDK deprecated“-Overlay

Zoom-gebrandete gefälschte Meeting-Oberfläche mit „SDK deprecated“-Overlay (Quelle – Arctic Wolf) Der injizierte PowerShell-Befehl lädt ein verschleiertes zweites Stufen-Skript vom Command-and-Control-Server des Angreifers herunter und speichert es im Temp-Ordner des Benutzers als Datei namens chromechip.log.

Diese Datei läuft in einem versteckten Fenster und installiert einen persistenten C2-Beacon, der vollständig im Speicher arbeitet und alle fünf Sekunden den Angreifer kontaktiert.

Das Implantat sammelt Hostnamen, OS-Version, laufende Prozesse, Administratorrechte und Zeitzonendaten und verpackt alles in einen strukturierten JSON-Beacon, der an einen entfernten Server gesendet wird.

Leistung und Energieausbeute

Dekodiertes PowerShell C2-Implant zeigt Systemprofilierungsroutine und JSON-Beacon-Struktur (Quelle – Arctic Wolf) Organisationen in den Bereichen Web3, Kryptowährungen und Finanzdienstleistungen sollten alle Meeting-Links über ein sekundäres Kommunikationsmittel überprüfen, bevor sie an einem Anruf teilnehmen.

Legitimität Plattformen bitten niemals Benutzer, Terminalbefehle auszuführen, um Audio- oder Kameraprobleme zu beheben. Sicherheitsteams sollten die identifizierten C2-Adressen blockieren, den Startshortcut mit dem Namen Chrome Update Certificated.lnk entfernen und chromechip.log sowie chrome-debug-data001.log äten löschen.

Alle im Browser gespeicherten Passwörter, API-Schlüssel und Krypto-Wallet-Anmeldeinformationen müssen sofort rotiert werden. PowerShell Script Block Logging sollte auf allen Endpunkten aktiviert werden, um die frühe Erkennung der Ausführung ützen.

Sie uns auf