قام القراصنة الإلكترونيون من كوريا الشمالية باستهداف شركات العملات المشفرة باستخدام سلالة جديدة من البرمجيات الخبيثة التي تستغل أجهزة آبل في هجوم متعدد المراحل.
أصدر الباحثون في شركة الأمن السيبراني Sentinel Labs تحذيرًا بشأن الحملة، التي تستفيد من هندسة اجتماعية وتقنيات الاستمرارية المتقدمة لاختراق أنظمة macOS.
البرمجيات الخبيثة، التي أطلق عليها اسم "NimDoor"، مكتوبة بلغة البرمجة الأقل شهرة نيم وقادرة على التهرب من أدوات مكافحة الفيروسات التقليدية.
وفقًا لمختبرات سينتينل، يقوم المهاجمون ببدء الاتصال من خلال انتحال شخصية أفراد موثوقين على منصات المراسلة مثل تيليجرام. يتم جذب الضحايا، الذين يبدو أنهم موظفون في شركات البلوكتشين أو ويب 3، إلى اجتماعات زوم مزيفة عبر روابط تصيد ويتم توجيههم لتثبيت ما يبدو أنه تحديث روتيني لمجموعة تطوير زوم.
عند التنفيذ، يقوم برنامج تحديث السكربت بتثبيت مراحل متعددة من البرمجيات الخبيثة على جهاز ماك الخاص بالضحية. تشمل هذه الإشارات المستندة إلى AppleScript، وبرامج Bash لسرقة بيانات الاعتماد، وثنائيات تم تجميعها بلغة Nim و C++ من أجل الاستمرارية وتنفيذ الأوامر عن بُعد.
البرمجيات الخبيثة هي ملفات برامج مستقلة تقوم بأداء مهام محددة ضمن سلسلة البرمجيات الخبيثة. واحدة من هذه الملفات، تُسمى CoreKitAgent، تستخدم آلية استمرارية تعتمد على الإشارات تعمل عندما يحاول المستخدمون إغلاق البرمجيات الخبيثة، مما يسمح لها بالبقاء نشطة حتى بعد إعادة تشغيل النظام.
تعتبر العملات المشفرة هدفًا رئيسيًا لهذه العملية. تبحث البرمجيات الخبيثة بشكل خاص عن بيانات الاعتماد المخزنة في المتصفح وبيانات التطبيقات المتعلقة بمحافظ العملات الرقمية.
البرمجيات الخبيثة تنفذ نصوصًا مصممة لاستخراج المعلومات من المتصفحات الشهيرة مثل Chrome وBrave وEdge وFirefox، بالإضافة إلى مدير كلمات المرور Keychain من Apple. تستهدف مكونة أخرى قاعدة بيانات Telegram المشفرة وملفات المفاتيح، مما قد يكشف عن عبارات بذور المحفظة والمفاتيح الخاصة المتبادلة عبر تطبيق المراسلة.
القراصنة الكوريون الشماليون المسؤولون
نسبت مختبرات سينتينيل الحملة إلى جهة تهديد مرتبطة بكوريا الشمالية، مما يواصل نمط الهجمات الإلكترونية التي تركز على العملات المشفرة من قبل جمهورية كوريا الديمقراطية الشعبية.
لقد استهدفت مجموعات القرصنة مثل لازاروس منذ فترة طويلة شركات الأصول الرقمية في جهود لتجاوز العقوبات الدولية وتمويل العمليات الحكومية. وقد شهدت العمليات السابقة استخدام البرمجيات الخبيثة المكتوبة بلغة Go و Rust، ولكن هذه الحملة تمثل واحدة من أولى عمليات نشر Nim الكبرى ضد أهداف macOS.
كما أفادت crypto.news سابقًا، في أواخر عام 2023، لاحظ الباحثون حملة أخرى مرتبطة بـ DPRK نشرت برمجيات خبيثة قائمة على بايثون تعرف باسم Kandykorn. تم توزيعها عبر خوادم Discord متنكرة كروبوت للتحكيم في العملات الرقمية واستهدفت بشكل أساسي مهندسي blockchain الذين يستخدمون macOS.
حذرت مختبرات سنتينل من أنه مع اعتماد الجهات الفاعلة في التهديدات بشكل متزايد على لغات البرمجة الغامضة والتقنيات المعقدة، لم تعد الافتراضات الأمنية التقليدية حول نظام macOS صالحة.
على مدار الأشهر الماضية، استهدفت عدة سلالات من البرمجيات الخبيثة مستخدمي آبل، بما في ذلك SparkKitty، التي سرقت عبارات الاسترداد عبر معارض الصور على نظام iOS، و فيروس تم استبدال تطبيقات المحفظة على نظام macOS بإصدار خبيث.
شاهد النسخة الأصلية
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
هاكرز كوريا الشمالية يستهدفون نظام macOS في أحدث حملة برمجيات خبيثة تستهدف شركات العملات المشفرة
قام القراصنة الإلكترونيون من كوريا الشمالية باستهداف شركات العملات المشفرة باستخدام سلالة جديدة من البرمجيات الخبيثة التي تستغل أجهزة آبل في هجوم متعدد المراحل.
أصدر الباحثون في شركة الأمن السيبراني Sentinel Labs تحذيرًا بشأن الحملة، التي تستفيد من هندسة اجتماعية وتقنيات الاستمرارية المتقدمة لاختراق أنظمة macOS.
البرمجيات الخبيثة، التي أطلق عليها اسم "NimDoor"، مكتوبة بلغة البرمجة الأقل شهرة نيم وقادرة على التهرب من أدوات مكافحة الفيروسات التقليدية.
وفقًا لمختبرات سينتينل، يقوم المهاجمون ببدء الاتصال من خلال انتحال شخصية أفراد موثوقين على منصات المراسلة مثل تيليجرام. يتم جذب الضحايا، الذين يبدو أنهم موظفون في شركات البلوكتشين أو ويب 3، إلى اجتماعات زوم مزيفة عبر روابط تصيد ويتم توجيههم لتثبيت ما يبدو أنه تحديث روتيني لمجموعة تطوير زوم.
عند التنفيذ، يقوم برنامج تحديث السكربت بتثبيت مراحل متعددة من البرمجيات الخبيثة على جهاز ماك الخاص بالضحية. تشمل هذه الإشارات المستندة إلى AppleScript، وبرامج Bash لسرقة بيانات الاعتماد، وثنائيات تم تجميعها بلغة Nim و C++ من أجل الاستمرارية وتنفيذ الأوامر عن بُعد.
البرمجيات الخبيثة هي ملفات برامج مستقلة تقوم بأداء مهام محددة ضمن سلسلة البرمجيات الخبيثة. واحدة من هذه الملفات، تُسمى CoreKitAgent، تستخدم آلية استمرارية تعتمد على الإشارات تعمل عندما يحاول المستخدمون إغلاق البرمجيات الخبيثة، مما يسمح لها بالبقاء نشطة حتى بعد إعادة تشغيل النظام.
تعتبر العملات المشفرة هدفًا رئيسيًا لهذه العملية. تبحث البرمجيات الخبيثة بشكل خاص عن بيانات الاعتماد المخزنة في المتصفح وبيانات التطبيقات المتعلقة بمحافظ العملات الرقمية.
البرمجيات الخبيثة تنفذ نصوصًا مصممة لاستخراج المعلومات من المتصفحات الشهيرة مثل Chrome وBrave وEdge وFirefox، بالإضافة إلى مدير كلمات المرور Keychain من Apple. تستهدف مكونة أخرى قاعدة بيانات Telegram المشفرة وملفات المفاتيح، مما قد يكشف عن عبارات بذور المحفظة والمفاتيح الخاصة المتبادلة عبر تطبيق المراسلة.
القراصنة الكوريون الشماليون المسؤولون
نسبت مختبرات سينتينيل الحملة إلى جهة تهديد مرتبطة بكوريا الشمالية، مما يواصل نمط الهجمات الإلكترونية التي تركز على العملات المشفرة من قبل جمهورية كوريا الديمقراطية الشعبية.
لقد استهدفت مجموعات القرصنة مثل لازاروس منذ فترة طويلة شركات الأصول الرقمية في جهود لتجاوز العقوبات الدولية وتمويل العمليات الحكومية. وقد شهدت العمليات السابقة استخدام البرمجيات الخبيثة المكتوبة بلغة Go و Rust، ولكن هذه الحملة تمثل واحدة من أولى عمليات نشر Nim الكبرى ضد أهداف macOS.
كما أفادت crypto.news سابقًا، في أواخر عام 2023، لاحظ الباحثون حملة أخرى مرتبطة بـ DPRK نشرت برمجيات خبيثة قائمة على بايثون تعرف باسم Kandykorn. تم توزيعها عبر خوادم Discord متنكرة كروبوت للتحكيم في العملات الرقمية واستهدفت بشكل أساسي مهندسي blockchain الذين يستخدمون macOS.
حذرت مختبرات سنتينل من أنه مع اعتماد الجهات الفاعلة في التهديدات بشكل متزايد على لغات البرمجة الغامضة والتقنيات المعقدة، لم تعد الافتراضات الأمنية التقليدية حول نظام macOS صالحة.
على مدار الأشهر الماضية، استهدفت عدة سلالات من البرمجيات الخبيثة مستخدمي آبل، بما في ذلك SparkKitty، التي سرقت عبارات الاسترداد عبر معارض الصور على نظام iOS، و فيروس تم استبدال تطبيقات المحفظة على نظام macOS بإصدار خبيث.