Aanvallers hebben een besmette versie van videoconferentietool MiroTalk gebruikt voor een aanval op sollicitanten die met macOS werken, zo melden beveiligingsonderzoekers. De aanval zou het werk zijn geweest van een vanuit Noord-Korea opererende groep, die zowel spionage als het verkrijgen van inkomsten als doel heeft.

In het verleden zijn soortgelijke aanvallen regelmatig in het nieuws geweest. De aanvallers, die zich bijvoorbeeld voordoen als recruiter, zoeken doelwitten en benaderden die bijvoorbeeld via LinkedIn. Vervolgens wordt het slachtoffer gevraagd een bepaald bestand te openen of software te downloaden. In het geval van de aanval waarover onderzoekers van MalwareHunterTeam en Objective-See berichten gebruikten de aanvallers een besmette versie van videoconferentietool MiroTalk. Vermoedelijk werden doelwitten benaderd om een gesprek via de tool te voeren. Hiervoor was een aparte domeinnaam geregistreerd met een website die volledig van de officiële website was gekopieerd.

MiroTalk is een browsergebaseerde tool voor het houden van videogesprekken. Er hoeft geen software te worden gedownload. Dit staat duidelijk op de officiële website vermeld: 'No download, plug-in, or login is required' en stond ook op de gekloonde malafide site. Die biedt echter het bestand 'MiroTalk.dmg' dat doelwitten kregen aangeboden. Het gaat om een getrojaniseerde versie van MiroTalk die in de achtergrond allerlei informatie steelt, zoals de keychain, browsergegevens en cryptovaluta-gerelateerde informatie. Daarnaast wordt er een backdoor geïnstalleerd waarmee de aanvallers toegang tot het systeem behouden.