Tech

Crypto volées avec des deepfakes et malware macOS : le piratage nord‑coréen qui vide les wallets en simulant vos patrons

Une nouvelle campagne de cyberattaques, attribuée par les chercheurs de Mandiant à un groupe nord‑coréen identifié comme UNC1069, cible des entreprises fintech en visant directement leurs portefeuilles de cryptomonnaies. Ce qui distingue ces opérations, c’est l’usage combiné de deepfakes vidéo et d’une technique d’ingénierie sociale dite « ClickFix » pour inciter les victimes à exécuter une suite de commandes qui déploient une chaîne de malwares sur macOS. Voici le déroulé, les enjeux techniques et les bonnes pratiques pour se prémunir contre ce type d’attaque sophistiquée.

Comment l’attaque se déroule : de la confiance falsifiée à l’infection

La chaîne d’infection repose sur une mise en scène soigneuse. Les attaquants compromettent au préalable un compte Telegram appartenant à un dirigeant d’une fintech. Depuis ce compte, ils contactent des cibles en leur proposant un rendez‑vous via un lien Calendly pointant vers une fausse réunion Zoom. Lors de l’appel, les victimes visionnent un deepfake du PDG d’une autre société — une simulation audiovisuelle destinée à créer un sentiment de légitimité.

Au cours de la session, les attaquants provoquent un « faux » problème audio et proposent une « procédure de dépannage » : l’utilisateur est invité à exécuter des commandes publiées sur une page web. C’est la technique ClickFix : sous couvert d’une action technique banale, la victime déclenche le téléchargement et l’exécution d’un AppleScript. Celui‑ci lance le premier composant malveillant — WAVESHAPER — puis une cascade de chargeurs et backdoors qui s’installent sur la machine.

La chaîne de malwares analysée

  • WAVESHAPER : backdoor initiale qui collecte des informations système et contacte un serveur de commande et contrôle.
  • HYPERCALL : downloader qui récupère d’autres composants malveillants.
  • HIDDENCALL et SILENCELIFT : backdoors supplémentaires ; HIDDENCALL permet notamment l’accès clavier à distance, SILENCELIFT peut interrompre les communications Telegram pour isoler la victime.
  • SUGARLOADER : second downloader utilisé pour obtenir des outils complémentaires.
  • DEEPBREATH : data miner capable de contourner la protection TCC (Transparency, Consent, and Control) de macOS ; il accède aux fichiers, aux clés du trousseau (keychain), aux cookies et aux données d’applications comme Telegram ou Apple Notes.
  • CHROMEPUSH : se présente comme une fausse extension « Google Docs Offline » pour Chrome ; il exfiltre cookies et identifiants, enregistre les frappes et capture des captures d’écran.
    • Article à lire  Error: HTTP 400 - { error: { message:Missing required parameter: 'model'., type:invalid_request_error, param:model, code:missing_required_parameter }}

    Selon les relevés, seuls deux des sept composants (SUGARLOADER et WAVESHAPER) sont actuellement bien détectés par les principaux moteurs antivirus répertoriés sur VirusTotal, ce qui rend la campagne particulièrement dangereuse pour des environnements macOS non durcis.

    Pourquoi les fintechs sont la cible privilégiée

    Les fintechs gèrent des clés d’accès, des portefeuilles et des processus de transfert de fonds — autant de cibles à fort enjeu pour des acteurs motivés par le vol de cryptomonnaies. La valeur des actifs numériques et la difficulté parfois élevée de retracer et de récupérer des fonds volés font de ces entreprises des proies très rentables. Le niveau d’ingénierie sociale requis pour ces attaques (deepfake crédible, usage de comptes compromis) traduit une organisation avancée et des ressources notables derrière ces opérations.

    Les signaux d’alerte à repérer

  • Invitation à une réunion via un lien externe inattendu (Calendly/Zoom) provenant d’un compte inhabituel ou compromis.
  • Vidéo ou message d’une personne connue mais avec un contexte inattendu (ton, formulation, demandes techniques bizarres).
  • Instruction qui demande d’exécuter des commandes système fournies sur une page web — c’est le modus operandi du ClickFix.
  • Comportements réseau suspects après l’exécution d’un script : connexions sortantes vers des serveurs inconnus, processus non identifiés consommant CPU ou I/O.

    • Mesures immédiates et préventives recommandées

  • Ne jamais exécuter de commandes fournies par un interlocuteur, même s’il semble être une personne connue. Vérifier l’identité via un canal séparé (appel téléphonique, mail officiel vérifié).
  • Durcir les postes macOS : appliquer les mises à jour système, limiter les droits d’exécution d’AppleScript, activer et contrôler les paramètres TCC pour restreindre l’accès aux ressources sensibles (keychain, capture d’écran, dossiers).
  • Installer des protections endpoint capables de détecter comportements anormaux et charges utiles inconnues ; compléter par une surveillance réseau pour identifier connexions C2 (command and control).
  • Restreindre l’usage d’extensions de navigateur non vérifiées et sensibiliser les équipes à la vérification des sources des extensions.
  • Mettre en place une politique de gestion des comptes compromis : procédure de vérification, réinitialisation des accès et revue des sessions actives dès suspicion.
  • Utiliser des processus de sécurité spécifiques aux fintechs : contrôles multi‑signature sur les retraits, délais d’authentification, surveillance des flux atypiques de transfert de cryptomonnaies.
    • Article à lire  Error: HTTP 400 - { error: { message:Missing required parameter: 'model'., type:invalid_request_error, param:model, code:missing_required_parameter }}

    Conséquences et enseignements

    Cette campagne illustre la convergence entre deepfake, ingénierie sociale et malwares de nouvelle génération — une menace « tout‑en‑un » qui exploite la confiance humaine avant d’exploiter les failles techniques. Pour les entreprises manipulant des actifs numériques, la leçon est claire : la sécurité ne peut plus reposer uniquement sur des barrières techniques classiques. Il faut une combinaison de durcissement des postes, d’authentification robuste, de procédures opérationnelles rigoureuses et d’éducation continue des équipes pour réduire l’exposition aux scénarios où la confiance est falsifiée.

    Actions prioritaires pour les dirigeants

  • Auditer immédiatement les vecteurs de communication privilégiés (comptes Telegram, calendriers partagés, etc.) et instaurer des procédures de vérification pour toute réunion externe impliquant des décisions sensibles.
  • Renforcer l’architecture de sécurité pour limiter les privilèges et mettre en place une détection comportementale des endpoints.
  • Former régulièrement les équipes au phishing, aux deepfakes et aux techniques de type ClickFix ; simuler des attaques pour tester la résilience organisationnelle.
  • Adopter des mécanismes transactionnels robustes pour les mouvements de cryptomonnaies (approbations multiples, delays, whitelists d’adresses).

    • La sophistication de la campagne UNC1069 montre que les attaques ciblées évoluent rapidement : elles combinent désormais falsification d’identité très convaincante et exploitation technique en chaîne. Pour s’en prémunir, les entreprises doivent adopter une posture défensive holistique — humaine, procédurale et technologique — plutôt que compter sur des protections isolées.

    Related Posts

    You May Have Missed