Aanvallers hebben zich voorgedaan als de directie van een niet nader genoemde cryptovaluta stichting om zo een medewerker met macOS-malware te infecteren, die commando's kan uitvoeren als het scherm in slaapstand staat. Dat stelt securitybedrijf Huntress in een analyse. De medewerker ontving via Telegram een bericht van een extern contact om een meeting te plannen. De link stuurde de medewerker door naar een zogenaamd Zoom-domein.

Toen de medewerker aan de Zoom-meeting wilde deelnemen waren er verschillende deepfakes van directieleden zichtbaar, aldus onderzoeker Alden Schmidt. Tijdens de meeting kon de medewerker zijn microfoon niet gebruiken. Daarop vertelden de deepfakes dat hij een Zoom-extensie moeste downloaden, gaat Schmidt verder. De link wees naar een AppleScript dat op een zogenaamd Zoom-domein werd gehost.

Het script probeert via een scherm het wachtwoord van de gebruiker te krijgen. Daarna wordt er allerlei andere malware geïnstalleerd, waaronder een backdoor, keylogger en infostealer om zo allerlei data van het systeem te stelen. Daarnaast kunnen aanvallers via de backdoor allerlei commando's op het besmette systeem uitvoeren. De onderzoekers merken op dat de malware aanvallers de optie biedt om commando's pas uit te voeren als het beeldscherm in de slaapstand staat, om zo te voorkomen dat de gebruiker ziet dat er code wordt uitgevoerd.

Volgens het securitybedrijf is het belangrijk dat gebruikers alert zijn op ongevraagde uitnodigingen, zeker van mensen met wie ze al enige tijd geen contact hebben gehad. Verder moeten gebruikers ook letten op verzoeken om snel een plug-in of extensie te installeren. Als laatste stelt Huntress dat macOS-gebruikers moeten beseffen dat ook zij een doelwit kunnen zijn. "De afgelopen jaren hebben we gezien dat macOS een groter doelwit voor aanvallers is geworden, zeker als het gaat om zeer geraffineerde statelijke actoren." Volgens de onderzoekers zit een vanuit Noord-Korea opererende groep achter de malware.