BlueNoroff атакует через поддельные Zoom-звонки: как хакеры крадут данные жертв

Инцидент произошел 28 мая 2025 года. Жертва, сотрудник компании, получила приглашение на Zoom-конференцию от знакомого контакта, с которым ранее обсуждала вопросы, связанные с криптовалютами. Во время звонка у жертвы возникли технические неполадки со звуком, после чего злоумышленник предложил «исправить проблему», запустив специальный скрипт, якобы связанный с обновлением Zoom.

Скрипт, внешне выглядящий как легитимный инструмент для устранения неисправностей, содержал более 10 000 пустых строк, за которыми скрывалась команда для загрузки и выполнения вредоносного кода. Жертва запустила скрипт, что привело к загрузке троянца с домена zoom-tech[.]us, не имеющего отношения к официальному сервису Zoom (zoom.us). Анализ показал, что этот домен был зарегистрирован за месяц до атаки и уже фигурировал в отчетах о киберпреступности, связанной с криптовалютами.

После выполнения скрипта злоумышленники получили доступ к системе и начали сбор конфиденциальных данных, включая пароли, ключи шифрования и информацию из браузеров. Особое внимание уделялось данным, связанным с криптовалютными кошельками и расширениями, такими как Brave и MetaMask. Вредоносное ПО также создало механизмы для постоянного доступа, установив скрытую службу в системе macOS.

Аналитики Field Effect связывают эту атаку с BlueNoroff - подгруппой Lazarus Group, специализирующейся на финансовых атаках. Группа известна своей активностью с 2010 года и ассоциируется с такими операциями, как взлом банковских систем и кражи криптовалют.

Атака демонстрирует, что даже доверенные каналы связи, такие как Zoom, могут быть использованы для целевых атак. BlueNoroff продолжает совершенствовать свои методы, что делает их одной из самых опасных киберпреступных групп в мире. Компаниям, работающим с криптовалютами и финансовыми сервисами, следует быть особенно осторожными и внедрять многоуровневую защиту.

IPv4

• 23.254.203.244

Domains

• ae-zoom.us
• ae-zooom-hegne-meetingsfromf6758s.pages.dev
• ajayplamingo.com
• alejandro.uefa-meeting.com
• api.zoom-sdk.us
• api-zoom.com
• app-center.download
• app-zoom.website
• as-zoom.us
• baincapitalcrypto.zm-meeting.com
• bizmeet.online
• bizmeeting.org
• bizmeeting.video
• biz-zoom.us
• boolnetwork.xyz
• business-zoom.us
• bu-zoom.us
• calystiabusiness.com
• capitalviabtc.com
• capitalviabtc.comhollow-jordan-narrow.on-fleek.app
• communicationhub.us
• cr-zoom.us
• downloadcenter.website
• dunamu.jp-zoom.com
• ecosystem.openfort.video
• en-zoom.us
• extrazoom.us
• fronterixbusiness.com
• gcp.webzoom.video
• globiscapital.co
• globiscapitals.com
• group.superstatefund.co
• hanagroup.live
• hanagroup.video
• hartmanmcapital.com
• hk05web.us
• hwsrv-1275416.hostwindsdns.com
• ignite.bizmeeting.org
• ignite.bizmeeting.video
• innerteams.us
• interzoom.us
• jp-zoom.com
• justbuiltprojects.com.au
• kourosh.uefa-meeting.com
• krakenmeetings.com
• luc.uefa-meeting.com
• mail.web021zoom.us
• matias.uefa-meeting.com
• mediaprime.team
• meet.capitalviabtc.com
• meet.capitalviabtc.comhollow-jordan-narrow.on-fleek.app
• meet.globiscapital.co
• meet.globiscapitals.com
• meet.hanagroup.video
• meet.mythicaigames.foundation
• meet.openfort-team.xyz
• meet.picwe-team.com
• meet.re7.network
• meet.rwa-team.video
• meet.str8fire-team.network
• meet.superstatefund.co
• meet.synternetlab.com
• meet.twosigma-vc.com
• meeting-zoom-witcam-tests-meet-id-5u83-82f3-8h39-83h9-d9e3.pages.dev
• meetwithhealthyh2o.com
• mythicaigames.foundation
• mzweb3.bu-zoom.us
• mzweb3.jp-zoom.com
• officezoom.us
• openfort.businessmeet.xyz
• openfort.video
• openfort.xyz
• openfort-team.xyz
• partner.hartmanmcapital.com
• partners.boolnetwork.xyz
• pre-zoom.us
• republic.biz-zoom.us
• republic.bu-zoom.us
• republic.extrazoom.us
• republic.innerteams.us
• republic.officezoom.us
• republic.pre-zoom.us
• republic.usweb-zoom.us
• riccardo.uefa-meeting.com
• rwa.business-zoom.us
• rwa-team.video
• sammy.uefa-meeting.com
• skalelabs.as-zoom.us
• skalelabs.bu-zoom.us
• skalelabs.mediaprime.team
• skalelabs.pre-zoom.us
• skalelabs.usweb-zoom.us
• stage.bizmeet.online
• stage.bizmeet.org
• str8fire.businessmeet.xyz
• str8fire-team.network
• su05web.us
• superstatefund.co
• synternetlab.com
• tom.uefa-meeting.com
• twosigma-vc.com
• uefa-meeting.com
• uk03web.us
• uk06web.us
• uk07web.us
• ukweb07.us
• usweb08.us
• usweb-zoom.us
• viabtc.webmeet.vip
• web.interzoom.us
• web.zoomhub.us
• web001zoom.us
• web001-zoom.us
• web011zoom.us
• web021zoom.us
• web3fund.as-zoom.us
• web3fund.io
• webmeet.icu
• webus02.us
• webus07.us
• webzoom.video
• xn--rxamia.com
• zach.uefa-meeting.com
• zmwebsdk.com
• zoom.app-center.download
• zoom.downloadcenter.website
• zoom.hanagroup.live
• zoom.hk05web.us
• zoom.personifyio.com
• zoom.su05web.us
• zoom.uk03web.us
• zoom.uk06web.us
• zoom.uk07web.us
• zoom.ukweb05.us
• zoom.ukweb06.us
• zoom.ukweb07.us
• zoom.usweb08.us
• zoom.webus02.us
• zoom.webus07.us
• zoomapp.downloadcenter.website
• zoomhub.us
• zoom-sdk.us
• zoom-tech.us
• zoomtomeet.pposbc.org
• zooom.in
• zooom.pages.dev
• zooommeeting.pages.dev

MD5

• 032e3e9a09f58a5b776c7374fc66d822
• 1653d75d579872fadec1f22cf7fee3c0
• 73d26eb56e5a3426884733c104c3f625
• c1793375aa046213293f367ad338f5d8

SHA1

• 1269e7279b701777a660c7fa982f480cd1ffa43b
• 4d101f0ca2bd81c23f0e68dbf34b3cd6625188b7
• 6ffa82b33ec40477829e240458d65707eef882f8
• 97ee87a342c9977383161185de934b2be27bd01a

SHA256

• 036ca0a9d6a87e811f96f3aaadd8d0506954716cdb3b56915fc20859f1363c2f
• 5b6ce5e4ab8805884e497b53e57e05be8b2ab07c87dadcbdce137ac7df025690
• 81612cab25c707a4c5d12bb21ff5f87386fb52dcd0a12bbd063a9b4b11f2df14
• ccf7f7678965105142f6878d7b1f1f1c6f31fdbc45b0e50b8e70d0441f0b7472