Северокорейские хакеры используют новые штаммы вредоносного ПО, нацеленные на устройства Apple, в рамках кибератаки на криптокомпании.
Согласно отчету компании Sentinel Labs в среду, злоумышленники выдают себя за доверенных лиц в мессенджерах, таких как Telegram, затем запрашивают поддельную встречу в Zoom через ссылку Google Meet, после чего отправляют жертве файл, замаскированный под обновление Zoom.
Nimdoor нацелен на Mac
После запуска «обновления» полезная нагрузка устанавливает вредоносное ПО под названием «NimDoor» на компьютеры Mac, которое затем нацелено на криптокошельки и пароли браузера.
Ранее широко распространено было мнение, что компьютеры Mac менее подвержены взлому и эксплуатации, но это больше не так.
Хотя вектор атаки относительно распространен, вредоносное ПО написано на необычном языке программирования под названием Nim, что затрудняет его обнаружение программным обеспечением безопасности.
«Хотя начальные этапы атаки следуют привычной схеме КНДР, использующей социальную инженерию, скрипты-приманки и поддельные обновления, использование скомпилированных на Nim бинарных файлов на macOS — более необычный выбор», — отметили исследователи.
Nim — относительно новый и редкий язык программирования, который становится популярным среди киберпреступников, поскольку он может работать в Windows, Mac и Linux без изменений, что означает, что хакеры могут написать одно вредоносное ПО, которое работает везде.
Nim также быстро компилируется в код, создает автономные исполняемые файлы и очень сложно обнаруживается.
Ранее северокорейские группировки угрожали экспериментировать с языками программирования Go и Rust, но Nim предлагает значительные преимущества, утверждают исследователи Sentinel Labs.
Полезная нагрузка крадет данные
Полезная нагрузка содержит программу для кражи учетных данных, «предназначенную для бесшумного извлечения информации из браузера и на системном уровне, ее упаковки и эксфильтрации», — говорится в отчете.
Также есть скрипт, который крадет зашифрованную локальную базу данных Telegram и ключи расшифровки.
Он также использует умный тайминг, ожидая десять минут перед активацией, чтобы избежать обнаружения сканерами безопасности.
Mac тоже заражаются вирусами
Компания Huntress, поставщик решений в области кибербезопасности, сообщила в июне, что аналогичные вторжения вредоносного ПО связаны с северокорейской спонсируемой государством хакерской группой «BlueNoroff».
Исследователи заявили, что вредоносное ПО интересно тем, что оно смогло обойти защиты памяти Apple, чтобы внедрить полезную нагрузку.
Вредоносное ПО используется для кейлоггинга, записи экрана, извлечения содержимого буфера обмена, а также имеет полнофункциональный кратель данных, называемый CryptoBot, который ориентирован на кражу криптовалюты. Кратель данных проникает в расширения браузера, ища плагины для кошельков.
На этой неделе компания SlowMist, занимающаяся безопасностью блокчейна, предупредила пользователей о «массовой вредоносной кампании», включающей десятки поддельных расширений Firefox, предназначенных для кражи учетных данных кошельков криптовалюты.
«За последние несколько лет мы наблюдаем, как macOS становится более привлекательной целью для злоумышленников, особенно для высококвалифицированных, спонсируемых государством хакеров», — заключили исследователи Sentinel Labs, развенчивая миф о том, что Mac не заражаются вирусами.
