Північнокорейські хакери використовують нові штами зловмисного програмного забезпечення, спрямованого на пристрої Apple як частину кампанії з кібераттеку, спрямованої на криптовалютні компанії.
Згідно з доповіддю фірми з кібербезпеки Sentinel Labs у середу, зловмисники представляють себе комусь довіряють програмам обміну повідомленнями, як Telegram, а потім вимагають фальшивої зустрічі збільшення через посилання Google Meet, перш ніж надсилати те, що, як видається, є файлом оновлення збільшення.
Nimdoor цілі MAC комп’ютери
Після виконання “оновлення” корисне навантаження встановлює зловмисне програмне забезпечення під назвою “NIMDOOR” на комп’ютерах Mac, яке потім націлене на гаманці криптовалют та паролі браузера.
Раніше широко вважали, що комп’ютери MAC менш сприйнятливі до хаків та подвигів, але це вже не так.
Хоча вектор атаки є відносно поширеним, зловмисне програмне забезпечення написано незвичайною мовою програмування під назвою NIM, що ускладнює виявлення програмного забезпечення для безпеки.
“Хоча ранні етапи нападу дотримуються звичної схеми КНДР, використовуючи соціальну інженерію, приманки сценаріїв та підроблених оновлень, використання бінарних файлів на MACOS-це більш незвичний вибір”,-сказали дослідники.
NIM – це відносно нова і нечаста мова програмування, яка стає популярною серед кіберзлочинців, оскільки вона може працювати на Windows, Mac та Linux без змін, що означає, що хакери можуть писати одну частину зловмисного програмного забезпечення, що працює скрізь.
NIM також збирається швидко кодує, створює окремі виконувані файли і його дуже важко виявити.
Пов’язано: Засновники криптовалют повідомляють про потоп північнокорейської фальшивої спроби злому Zoom
Раніше суб’єкти, орієнтовані на північнокорей, експериментували з мовами програмування Go та Rust, але NIM пропонує значні переваги, зазначають дослідники Sentinel.
Корисне навантаження Infostealer
Корисне навантаження містить крадіжку облікових даних, “розроблений для мовчки витягувати інформацію про браузер та системний рівень, упакувати її та викреслити”,-сказали вони.
Також є сценарій, який краде зашифровану локальну базу даних Telegram та клавіші дешифрування.
Він також використовує розумний термін, чекаючи десять хвилин перед активізацією, щоб уникнути виявлення сканерами безпеки.
Macs теж отримує віруси
Постачальник кібербезпеки Hunsters повідомив у червні, що подібні вторгнення в зловмисне програмне забезпечення були пов’язані з американською групою хакерської групи “Bluenoroff”.
Дослідники заявили, що зловмисне програмне забезпечення було цікавим, оскільки він зміг обійти захист пам’яті Apple, щоб ввести корисне навантаження.
Зловмисне програмне забезпечення використовується для кейлогугування, запису екрана, пошуку буфера обміну, а також має “повнофункціональний Infostealer” під назвою Cryptobot, який має “фокус на крадіжці криптовалют”. Infostealer проникає в розширення браузера, шукаючи плагінів гаманця.
На цьому тижні фірма з безпеки Blockchain Slowmist попередила користувачів про “масову шкідливу кампанію”, що включає десятки підроблених розширень Firefox, розроблених для викрадення облікових даних про гаманець криптовалюти.
“Протягом останніх кількох років ми бачили, що MACOS стала більшою мішенню для суб’єктів загрози, особливо стосовно високо складних, спонсорованих державами зловмисників”,-підсумували дослідники Sentinel Labs, розвінчаючи міф про те, що MAC не отримують вірусів.
