黑客组织BlueNoroff伪装成公司高管，利用深度伪造技术诱骗员工安装恶意软件，目标是窃取加密货币。他们通过伪造Zoom会议，诱导受害者下载伪装成Zoom扩展程序的恶意程序。该恶意软件包含多种模块，如Telegram 2、Root Troy V4、InjectWithDyld、XScreen和CryptoBot，用于远程控制、窃取信息和盗取加密货币。研究人员于2024年6月11日发现了这次针对macOS设备的攻击，表明黑客正加大对Mac用户的攻击力度。

💻 黑客通过伪造Zoom会议，利用深度伪造技术，冒充公司高管诱导员工下载恶意软件。他们通过Telegram发送虚假日程链接，引导受害者加入伪造的Google Meet会议，从而进行攻击。

🔗 恶意软件伪装成Zoom扩展程序，诱导受害者下载AppleScript文件。该文件执行后，会从伪造的Zoom服务器下载二次载荷，进而植入多种恶意程序。

🔑 攻击中涉及多种恶意程序，包括Telegram 2、Root Troy V4、InjectWithDyld、XScreen和CryptoBot。这些程序分别用于远程控制、进程注入、键盘监控和加密货币钱包窃取，旨在窃取敏感信息和加密货币。

🛡️ 攻击目标主要针对macOS设备，表明黑客正加大对Mac用户的攻击力度。研究人员发现，黑客利用合法开发者证书规避检测，并具备清除日志的反取证功能，增加了攻击的隐蔽性。

IT之家 6 月 19 日消息，科技媒体 bleepingcomputer 昨日（6 月 18 日）发布博文，报道称黑客组织 BlueNoroff（又称 Sapphire Sleet、TA444）通过伪造公司高管的 Zoom 视频会议，诱导员工安装定制恶意软件。

该组织以盗窃加密货币为目标，攻击专门针对 macOS 设备，于 2025 年 6 月 11 日被 Huntress 研究人员发现。

IT之家援引博文介绍，BlueNoroff 已通过深度伪造（Deepfake）技术，定向钓鱼某科技公司员工：黑客伪装成外部专业人士，通过 Telegram 发送虚假日程链接，诱导受害者加入看似正常的 Google Meet 会议。

实际链接跳转至黑客控制的伪造 Zoom 域名。会议中，伪造的公司高管视频与“外部参与者”共同出现，增强欺骗性。

会议中，受害者遭遇麦克风故障，伪造的高管“建议”下载“Zoom 扩展程序”修复问题。该链接引导受害者下载 AppleScript 文件（zoom_sdk_support.scpt），该文件执行后伪装成合法 Zoom 支持页面，触发恶意命令，从伪造的 Zoom 服务器（httpssupportus05webzoombiz）下载二次载荷。

Huntress 发现，攻击共植入 8 种恶意程序，核心模块包括：

Telegram 2：以 Nim 语言编写，伪装成 Telegram 更新程序，周期性运行并作为后续攻击入口。其使用合法开发者证书，规避检测。

Root Troy V4：Go 语言开发的远程控制后门，支持远程代码执行、休眠状态指令队列及载荷下载，是攻击中枢。

InjectWithDyld：第二阶段加载器，通过 AES 密钥解密并注入加密恶意代码，利用 macOS 特定 API 实现进程注入，并具备清除日志的反取证功能。

XScreen（keyboardd）：监控模块，持续记录键盘输入、屏幕画面及剪贴板内容，实时回传至指挥服务器。

CryptoBot（airmond）：针对加密货币的钱包信息窃取器，支持 20 余个平台，数据加密缓存后外发。

Huntress 指出，尽管 Mac 用户普遍认为自身受攻击风险较低，但随着该系统在企业中的普及，黑客正加速开发针对性威胁。