黑客组织 BlueNoroff 通过伪造公司高管的 Zoom 视频会议，诱导员工安装定制恶意软件，目标是盗窃加密货币，攻击专门针对 macOS 设备。

6 月 19 日消息，科技媒体 bleepingcomputer 昨日（6 月 18 日）发布博文，报道称黑客组织 BlueNoroff（又称 Sapphire Sleet、TA444）通过伪造公司高管的 Zoom 视频会议，诱导员工安装定制恶意软件。

该组织以盗窃加密货币为目标，攻击专门针对 macOS 设备，于 2025 年 6 月 11 日被 Huntress 研究人员发现。

IT之家援引博文介绍，BlueNoroff 已通过深度伪造（Deepfake）技术，定向钓鱼某科技公司员工：黑客伪装成外部专业人士，通过 Telegram 发送虚假日程链接，诱导受害者加入看似正常的 Google Meet 会议。

实际链接跳转至黑客控制的伪造 Zoom 域名。会议中，伪造的公司高管视频与“外部参与者”共同出现，增强欺骗性。

会议中，受害者遭遇麦克风故障，伪造的高管“建议”下载“Zoom 扩展程序”修复问题。该链接引导受害者下载 AppleScript 文件（zoom_sdk_support.scpt），该文件执行后伪装成合法 Zoom 支持页面，触发恶意命令，从伪造的 Zoom 服务器（httpssupportus05webzoombiz）下载二次载荷。

Huntress 发现，攻击共植入 8 种恶意程序，核心模块包括：

• Telegram 2：以 Nim 语言编写，伪装成 Telegram 更新程序，周期性运行并作为后续攻击入口。其使用合法开发者证书，规避检测。
• Root Troy V4：Go 语言开发的远程控制后门，支持远程代码执行、休眠状态指令队列及载荷下载，是攻击中枢。
• InjectWithDyld：第二阶段加载器，通过 AES 密钥解密并注入加密恶意代码，利用 macOS 特定 API 实现进程注入，并具备清除日志的反取证功能。
• XScreen（keyboardd）：监控模块，持续记录键盘输入、屏幕画面及剪贴板内容，实时回传至指挥服务器。
• CryptoBot（airmond）：针对加密货币的钱包信息窃取器，支持 20 余个平台，数据加密缓存后外发。

Huntress 指出，尽管 Mac 用户普遍认为自身受攻击风险较低，但随着该系统在企业中的普及，黑客正加速开发针对性威胁。