Північнокорейські хакери використовують унікальне шкідливе ПЗ для macOS, щоб спрямовувати атаки на криптовалютні платформи
1 min read

Північнокорейські хакери використовують унікальне шкідливе ПЗ для macOS, щоб спрямовувати атаки на криптовалютні платформи

Мельниченко Тетяна0

Північнокорейські хакери використовують особливий вид шкідливого програмного забезпечення, відомого як NimDoor, щоб націлитися на комп’ютери з macOS, які використовуються у компаніях Web3 та криптовалютної сфери, згідно з даними, представленими компанією з досліджень кібербезпеки. Відомо, що зловмисники використовують баш-скрипти для збору та передачі конфіденційної інформації, такої як дані браузера, облікові дані iCloud Keychain та дані користувачів Telegram. Атаки базуються на соціальному інжинірингу (через чат-платформи) і шкідливих скриптах чи оновленнях, схожих на інші, пов’язані з Корейською Народно-Демократичною Республікою (КНДР).

## NimDoor зберігає доступ після завершення роботи програми або перезавантаження системи

Аналіз шкідливого програмного забезпечення NimDoor компанією Sentinel Labs показує, що пов’язані з КНДР зловмисники користуються комбінацією шкідливих двійкових файлів та скриптів, написаних на трьох мовах: C++, Nim і AppleScript. Ці двійкові файли, скомпільовані на Nim, ймовірно, використовуються для націлювання на комп’ютери Mac, що працюють у галузі криптовалют та Web3.

Жертви контактують через месенджери, такі як Telegram, і хакери застосовують соціальний інжиніринг, щоб переконати людину приєднатися до дзвінка через сервіс планування, наприклад Calendly. Щоб інфікувати систему жертви, зловмисник надсилає електронний лист зі шкідливим сценарієм “оновлення Zoom SDK”, який тихо встановлює шкідливе ПЗ, дозволяючи йому взаємодіяти з сервером командування та контролю (C2).

Kоли шкідливе програмне забезпечення встановлено на комп’ютер Mac, хакери виконують баш-скрипти для доступу та екстракції даних з браузерів, таких як Google Chrome, Microsoft Edge, Arc, Brave та Firefox. Воно також може викрадати облікові дані iCloud Keychain та дані користувачів Telegram з пристрою жертви.

Компанія з досліджень кібербезпеки також зазначила, що шкідливе програмне забезпечення NimDoor має “механізм постійного доступу на основі сигналів” (використовуючи обробники SIGINT/SIGTERM), щоб повторно встановлювати себе і продовжувати працювати на цільовому пристрої, навіть якщо шкідливий процес було завершено або система перезавантажена.

Більше інформації про шкідливе програмне забезпечення NimDoor, використовуване для націлювання на компанії Web3 та криптовалютні фірми, можна знайти на сайті Sentinel Labs, який містить детальні пояснення про те, як північнокорейські хакери використовували новаторські методи, щоб отримати постійний доступ до комп’ютерів жертв.

Фахівці також попереджають, що зловмисники все частіше використовують менш популярні мови програмування для націлювання на жертви. Це пов’язано з тим, що вони менш знайомі аналітикам, пропонуючи деякі технічні переваги в порівнянні з більш розповсюдженими мовами, що ускладнює їх виявлення та блокування за допомогою існуючих засобів безпеки.

Related Posts