Северокорейские хакеры используют новые штаммы вредоносных программ, направленных на устройства Apple в рамках кампании по кибератаке, ориентированной на компании по криптовалюте.
Согласно отчету фирмы по кибербезопасности Sentinel Labs в среду, злоумышленники выдают себя за кого -то, кто доверял приложениям для обмена сообщениями, такими как Telegram, затем запросите собрание поддельного зум -зум по ссылке Google Meet, прежде чем отправлять то, что представляется, файл обновления Zoom Update.
Nimdoor нацеливается на компьютеры Mac
После того, как «обновление» выполнено, полезная нагрузка устанавливает вредоносное ПО, называемое «Nimdoor», на компьютерах Mac, которые затем нацелены на кошельки для криптовалюты и пароли браузеров.
Ранее широко считалось, что компьютеры MAC были менее восприимчивы к взломам и эксплойтам, но это уже не так.
В то время как вектор атаки относительно распространен, вредоносное ПО написано на необычном языке программирования под названием NIM, что затрудняет обнаружение программного обеспечения для безопасности.
«Несмотря на то, что ранние стадии атаки следуют знакомую паттерну КНДР с использованием социальной инженерии, сценариев приманки и фальшивых обновлений, использование NIM-компилируемых двоичных файлов на MacOS является более необычным выбором»,-сказали исследователи.
NIM – это относительно новый и необычный язык программирования, который становится популярным среди киберпреступников, потому что он может работать на Windows, Mac и Linux без изменений, что означает, что хакеры могут писать один кусок вредоносного ПО, который работает везде.
NIM также компилирует быстро для кодирования, создает автономные исполняемые файлы и очень трудно обнаружить.
Связанный: Основатели криптовалюты сообщают о потоке попыток взлома фальшивого масштабирования северокорейской фальшивой масштаба
По словам исследователей Sentinel, выравниваемые северокорейскими угрозами, но NIM предлагает значительные преимущества.
Полезная нагрузка инфутора
Полезная нагрузка содержит учебные данные, «предназначенные для молчащего извлечения информации о браузере и системном уровне, упаковки ее и эксфильтрации»,-сказали они.
Существует также сценарий, который крадет зашифрованную локальную базу данных Telegram и клавиши расшифровки.
Он также использует умное время, ожидая за десять минут, прежде чем активировать, чтобы избежать обнаружения с помощью сканеров безопасности.
Macs тоже получают вирусы
Поставщик решений для кибербезопасности Huntress сообщила в июне, что подобные вредоносные программы были связаны с хакерской группой, спонсируемой штатом Северной Кореи «Bluenoroff».
Исследователи заявили, что вредоносное ПО является интересным, потому что оно смогло обойти защиту памяти Apple, чтобы вводить полезную нагрузку.
Улвнативное средство используется для клавиши, записи экрана, поиска буфера обмена, а также имеет «полнофункциональный инфостер» под названием Cryptobot, который имеет «фокус на краже криптовалюты». Infostealer проникает в расширения браузера в поисках плагинов кошелька.
На этой неделе фирма по безопасности блокчейна Slowmist предупредила пользователей о «массивной вредоносной кампании», включающей десятки фальшивых расширений Firefox, предназначенных для кражи учетных данных кошелька криптовалюты.
«За последние несколько лет мы видели, как MacOS стала более крупной целью для актеров-угроз, особенно в отношении очень сложных злоумышленников, спонсируемых государством»,-заключили исследователи Sentinel Labs, разоблачив миф о том, что Mac не получают вирусов.
