Северокорейские киберпреступники нацелились на криптовалютные компании, используя новый штамм вредоносных программ, который эксплуатирует устройства Apple в многослойной атаке.
Исследователи из кибербезопасной компании Sentinel Labs выпустили предупреждение о кампании, которая использует социальную инженерию и продвинутые методы постоянства для компрометации систем macOS.
Вредоносные программы, названные "NimDoor", написаны на менее известном языке программирования Nim и способны обходить традиционные антивирусные инструменты.
Согласно Sentinel Labs, злоумышленники устанавливают контакт, выдавая себя за доверенных лиц на мессенджерах, таких как Telegram. Жертвы, которые в данном случае, похоже, являются сотрудниками блокчейн- или Web3-компаний, заманиваются на поддельные встречи в Zoom через фишинговые ссылки и получают инструкции установить то, что кажется обычным обновлением Zoom SDK.
После выполнения скрипта обновления на устройство Mac жертвы устанавливаются несколько этапов вредоносных программ. К ним относятся маяки на базе AppleScript, Bash-скрипты для кражи учетных данных и двоичные файлы, скомпилированные на Nim и C++, для обеспечения устойчивости и выполнения удаленных команд.
Бинарные файлы — это независимые исполняемые файлы, которые выполняют конкретные задачи в цепочке вредоносных программ. Один из бинарных файлов, называемый CoreKitAgent, использует механизм постоянства на основе сигналов, который запускается, когда пользователи пытаются закрыть вредоносные программы, позволяя ему оставаться активным даже после перезагрузки системы.
Криптовалюты являются ключевой целью операции. Вредоносные программы специально нацелены на учетные данные, хранящиеся в браузере, и данные приложений, связанные с цифровыми кошельками.
Вредоносные программы выполняют скрипты, предназначенные для извлечения информации из популярных браузеров, таких как Chrome, Brave, Edge и Firefox, а также из менеджера паролей Apple Keychain. Другой компонент нацеливается на зашифрованную базу данных и файлы ключей Telegram, потенциально exposing seed-фразы кошелька и частные ключи, обмененные через мессенджер.
Северокорейские хакеры несут ответственность
Sentinel Labs приписали эту кампанию угрожающему актору, связанному с Северной Кореей, продолжая паттерн кибератак, сосредоточенных на криптовалютах, проводимых Корейской Народно-Демократической Республикой.
Хакерские группы, такие как Lazarus, на протяжении долгого времени нацеливались на компании цифровых активов в попытках обойти международные санкции и финансировать государственные операции. В предыдущих операциях использовались вредоносные программы, написанные на Go и Rust, но эта кампания является одной из первых крупных развертываний Nim против целей на macOS.
Как ранее сообщалось в crypto.news, в конце 2023 года исследователи наблюдали еще одну кампанию, связанную с КНДР, в рамках которой была развернута вредоносная программа на основе Python, известная как Kandykorn. Она распространялась через серверы Discord под видом бота для арбитража криптовалюты и в первую очередь нацеливалась на инженеров блокчейна, использующих macOS.
Sentinel Labs предупредила, что по мере того как злоумышленники все больше начинают использовать малоизвестные языки программирования и сложные техники, традиционные предположения о безопасности macOS больше не являются действительными.
За последние месяцы несколько вредоносных программ нацелились на пользователей Apple, включая SparkKitty, который украл сид-фразы через фотогалереи на iOS, и троян, который заменял кошельковые приложения на macOS на вредоносную версию.
Посмотреть Оригинал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Северокорейские хакеры нацеливаются на macOS в последней кампании вредоносных программ, нацеленной на крипто-компании
Северокорейские киберпреступники нацелились на криптовалютные компании, используя новый штамм вредоносных программ, который эксплуатирует устройства Apple в многослойной атаке.
Исследователи из кибербезопасной компании Sentinel Labs выпустили предупреждение о кампании, которая использует социальную инженерию и продвинутые методы постоянства для компрометации систем macOS.
Вредоносные программы, названные "NimDoor", написаны на менее известном языке программирования Nim и способны обходить традиционные антивирусные инструменты.
Согласно Sentinel Labs, злоумышленники устанавливают контакт, выдавая себя за доверенных лиц на мессенджерах, таких как Telegram. Жертвы, которые в данном случае, похоже, являются сотрудниками блокчейн- или Web3-компаний, заманиваются на поддельные встречи в Zoom через фишинговые ссылки и получают инструкции установить то, что кажется обычным обновлением Zoom SDK.
После выполнения скрипта обновления на устройство Mac жертвы устанавливаются несколько этапов вредоносных программ. К ним относятся маяки на базе AppleScript, Bash-скрипты для кражи учетных данных и двоичные файлы, скомпилированные на Nim и C++, для обеспечения устойчивости и выполнения удаленных команд.
Бинарные файлы — это независимые исполняемые файлы, которые выполняют конкретные задачи в цепочке вредоносных программ. Один из бинарных файлов, называемый CoreKitAgent, использует механизм постоянства на основе сигналов, который запускается, когда пользователи пытаются закрыть вредоносные программы, позволяя ему оставаться активным даже после перезагрузки системы.
Криптовалюты являются ключевой целью операции. Вредоносные программы специально нацелены на учетные данные, хранящиеся в браузере, и данные приложений, связанные с цифровыми кошельками.
Вредоносные программы выполняют скрипты, предназначенные для извлечения информации из популярных браузеров, таких как Chrome, Brave, Edge и Firefox, а также из менеджера паролей Apple Keychain. Другой компонент нацеливается на зашифрованную базу данных и файлы ключей Telegram, потенциально exposing seed-фразы кошелька и частные ключи, обмененные через мессенджер.
Северокорейские хакеры несут ответственность
Sentinel Labs приписали эту кампанию угрожающему актору, связанному с Северной Кореей, продолжая паттерн кибератак, сосредоточенных на криптовалютах, проводимых Корейской Народно-Демократической Республикой.
Хакерские группы, такие как Lazarus, на протяжении долгого времени нацеливались на компании цифровых активов в попытках обойти международные санкции и финансировать государственные операции. В предыдущих операциях использовались вредоносные программы, написанные на Go и Rust, но эта кампания является одной из первых крупных развертываний Nim против целей на macOS.
Как ранее сообщалось в crypto.news, в конце 2023 года исследователи наблюдали еще одну кампанию, связанную с КНДР, в рамках которой была развернута вредоносная программа на основе Python, известная как Kandykorn. Она распространялась через серверы Discord под видом бота для арбитража криптовалюты и в первую очередь нацеливалась на инженеров блокчейна, использующих macOS.
Sentinel Labs предупредила, что по мере того как злоумышленники все больше начинают использовать малоизвестные языки программирования и сложные техники, традиционные предположения о безопасности macOS больше не являются действительными.
За последние месяцы несколько вредоносных программ нацелились на пользователей Apple, включая SparkKitty, который украл сид-фразы через фотогалереи на iOS, и троян, который заменял кошельковые приложения на macOS на вредоносную версию.