Новая кибератака северокорейских хакеров
Северокорейские хакеры запустили новую кибератаку, нацеленную на компании в сфере криптовалют, используя сложный штамм вредоносного ПО, известный как NimDoor. Это вредоносное ПО предназначено для проникновения в устройства Apple, обходя встроенные механизмы защиты памяти, чтобы извлекать конфиденциальные данные из криптокошельков и браузеров.
Тактика социальной инженерии
Атака начинается с тактики социальной инженерии на платформах, таких как Telegram, где хакеры выдают себя за доверенных контактов, чтобы вовлечь жертв в разговор. Затем они приглашают цель на поддельную встречу в Zoom, замаскированную под сессию Google Meet, и отправляют файл, который имитирует легитимное обновление Zoom. Этот файл служит средством доставки вредоносного кода.
Проникновение и сбор данных
После выполнения вредоносное ПО устанавливает NimDoor на устройство жертвы, которое начинает собирать конфиденциальную информацию, в частности, нацеливаясь на криптокошельки и сохраненные учетные данные браузера. Исследователи из кибербезопасной компании SentinelLabs обнаружили эту новую тактику, отметив, что использование языка программирования Nim выделяет это вредоносное ПО.
Стратегические преимущества языка Nim
Бинарные файлы, скомпилированные на Nim, редко встречаются в атаках на macOS, что делает вредоносное ПО менее распознаваемым для традиционных средств безопасности и потенциально более сложным для анализа и обнаружения. Исследователи отметили, что северокорейские угрозы ранее экспериментировали с языками программирования, такими как Go и Rust, но переход на Nim отражает стратегическое преимущество благодаря его кроссплатформенным возможностям.
Компоненты вредоносного ПО
Вредоносный код включает компонент для кражи учетных данных, разработанный для скрытного сбора данных как на уровне браузера, так и на системном уровне, упаковки информации и передачи ее злоумышленникам. Кроме того, исследователи выявили скрипт внутри вредоносного ПО, который нацеливается на Telegram, извлекая как его зашифрованную локальную базу данных, так и соответствующие ключи расшифровки.
Примечательно, что вредоносное ПО использует механизм задержки активации, ожидая десять минут перед выполнением своих операций в очевидной попытке избежать сканеров безопасности.
