Fake Zoom SDK Update liefert Malware „Sapphire Sleet“ in neuer macOS-Infiltrationskette

Ein nordkoreanischer Bedrohungsakteur namens Sapphire Sleet hat eine neue Kampagne gegen macOS-Nutzer gestartet, bei der ein gefälschtes Zoom SDK Update verwendet wird, um Opfer dazu zu verleiten, bösartige Dateien auszu Ein nordkoreanischer Bedrohungsakteur namens Sapphire Sleet hat eine neue Kampagne gegen macOS-Nutzer gestartet, bei der ein gefälschtes Zoom SDK Update verwendet wird, um Opfer dazu zu verleiten, bösartige Dateien auszuführen, die Passwörter, Kryptowährungsgelder und persönliche Daten stehlen.

Im Gegensatz zu Angriffen, die Softwarefehler ausnutzen, stützt sich diese Kampagne vollständig auf Social Engineering und manipuliert Menschen, anstatt technische Verteidigungsmechanismen zu umgehen. Der Angriff beginnt mit einer überzeugenden Geschichte.

Sapphire Sleet gibt sich als Job-Recruiter auf professionellen Netzwerkplattformen aus, baut Vertrauen durch Karrieregespräche auf und vereinbart ein gefälschtes technisches Interview.

An einem kritischen Punkt wird das Opfer angewiesen, eine Datei namens „Zoom SDK Update.scpt“ herunterzuladen, ein kompiliertes AppleScript, das in der macOS Script Editor App geöffnet wird.

Da der Script Editor eine vertrauenswürdige, von Apple erstellte Anwendung ist, wirft macOS keine Warnungen aus, und der Benutzer sieht routinemäßige Upgrade-Anweisungen, während Tausende von leeren Zeilen darunter bösartigen Code verbergen, der zur Ausführung bereitsteht.

Microsoft Threat Intelligence Analysten identifizierten diese Kampagne und stellten fest, dass die spezifische Kombination von Ausführungsmustern, einschließlich der Verwendung von AppleScript als dedizierter Komponenten zur Ernte von Anmeldeinformationen, zuvor von Sapphire Sleet nicht beobachtet worden war.