Північнокорейські кіберзлочинці націлюються на криптофірми, використовуючи новий різновид шкідливих програм, який експлуатує пристрої Apple у багатоступеневій атаці.
Дослідники з кібербезпекової компанії Sentinel Labs випустили попередження про кампанію, яка використовує соціальну інженерію та розвинені техніки постійності для компрометації систем macOS.
Шкідливі програми, які називаються "NimDoor", написані на менш відомій мові програмування Nim і здатні обходити традиційні антивірусні інструменти.
Згідно з Sentinel Labs, зловмисники починають контакт, видаючи себе за надійних осіб на платформах обміну повідомленнями, таких як Telegram. Жертви, які в даному випадку, схоже, є працівниками компаній у сфері блокчейн або Web3, заманюються до фейкових Zoom-зустрічей через фішингові посилання та отримують інструкції встановити те, що здається рутинним оновленням Zoom SDK.
Після виконання скрипт оновлення встановлює кілька етапів шкідливих програм на пристрій Mac жертви. До них входять маячки на основі AppleScript, Bash-скрипти для крадіжки облікових даних та двійкові файли, скомпільовані на Nim і C++, для збереження та віддаленого виконання команд.
Бінарні файли — це самостійні програмні файли, які виконують конкретні завдання в ланцюгу шкідливих програм. Один з бінарних файлів, званий CoreKitAgent, використовує механізм збереження, заснований на сигналах, який запускається, коли користувачі намагаються закрити шкідливі програми, що дозволяє йому залишатися активним навіть після перезавантаження системи.
Криптовалюти є ключовою метою операції. Шкідливі програми спеціально намагаються знайти облікові дані, збережені в браузері, та дані додатків, пов'язані з цифровими гаманцями.
Шкідливі програми виконують скрипти, призначені для витягування інформації з популярних браузерів, таких як Chrome, Brave, Edge та Firefox, а також з менеджера паролів Apple Keychain. Інший компонент націлений на зашифровану базу даних Telegram та файли ключів, потенційно піддаючи ризику фрази насіння гаманців та приватні ключі, що обмінюються через додаток для обміну повідомленнями.
Північно-корейські хакери несуть відповідальність
Sentinel Labs приписала кампанію загрозливому актору, пов'язаному з Північною Кореєю, продовжуючи патерн криптоорієнтованих кібератак з боку Корейської Народно-Демократичної Республіки.
Хакерські групи, такі як Lazarus, давно націлюються на компанії цифрових активів у спробах обійти міжнародні санкції та фінансувати державні операції. Попередні операції включали шкідливі програми, написані на Go та Rust, але ця кампанія є однією з перших великих розгортань Nim проти цілей macOS.
Як раніше повідомлялося crypto.news, наприкінці 2023 року дослідники спостерігали ще одну кампанію, пов'язану з КНДР, яка використовувала шкідливі програми на базі Python, відомі як Kandykorn. Вони розповсюджувалися через сервери Discord, маскуючись під бот для арбітражу криптовалют, і в основному націлені на інженерів блокчейну, які використовують macOS.
Sentinel Labs попередила, що оскільки зловмисники все частіше використовують незвичайні мови програмування та складні техніки, традиційні припущення щодо безпеки macOS більше не є дійсними.
Протягом останніх місяців кілька шкідливих програм націлилися на користувачів Apple, включаючи SparkKitty, яка крала сіменні фрази через фотогалереї на iOS, і тройник, який замінив додатки для гаманців на macOS на шкідливу версію.
Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Північнокорейські хакери націлилися на macOS у останній кампанії зі шкідливими програмами, що націлюється на криптофірми
Північнокорейські кіберзлочинці націлюються на криптофірми, використовуючи новий різновид шкідливих програм, який експлуатує пристрої Apple у багатоступеневій атаці.
Дослідники з кібербезпекової компанії Sentinel Labs випустили попередження про кампанію, яка використовує соціальну інженерію та розвинені техніки постійності для компрометації систем macOS.
Шкідливі програми, які називаються "NimDoor", написані на менш відомій мові програмування Nim і здатні обходити традиційні антивірусні інструменти.
Згідно з Sentinel Labs, зловмисники починають контакт, видаючи себе за надійних осіб на платформах обміну повідомленнями, таких як Telegram. Жертви, які в даному випадку, схоже, є працівниками компаній у сфері блокчейн або Web3, заманюються до фейкових Zoom-зустрічей через фішингові посилання та отримують інструкції встановити те, що здається рутинним оновленням Zoom SDK.
Після виконання скрипт оновлення встановлює кілька етапів шкідливих програм на пристрій Mac жертви. До них входять маячки на основі AppleScript, Bash-скрипти для крадіжки облікових даних та двійкові файли, скомпільовані на Nim і C++, для збереження та віддаленого виконання команд.
Бінарні файли — це самостійні програмні файли, які виконують конкретні завдання в ланцюгу шкідливих програм. Один з бінарних файлів, званий CoreKitAgent, використовує механізм збереження, заснований на сигналах, який запускається, коли користувачі намагаються закрити шкідливі програми, що дозволяє йому залишатися активним навіть після перезавантаження системи.
Криптовалюти є ключовою метою операції. Шкідливі програми спеціально намагаються знайти облікові дані, збережені в браузері, та дані додатків, пов'язані з цифровими гаманцями.
Шкідливі програми виконують скрипти, призначені для витягування інформації з популярних браузерів, таких як Chrome, Brave, Edge та Firefox, а також з менеджера паролів Apple Keychain. Інший компонент націлений на зашифровану базу даних Telegram та файли ключів, потенційно піддаючи ризику фрази насіння гаманців та приватні ключі, що обмінюються через додаток для обміну повідомленнями.
Північно-корейські хакери несуть відповідальність
Sentinel Labs приписала кампанію загрозливому актору, пов'язаному з Північною Кореєю, продовжуючи патерн криптоорієнтованих кібератак з боку Корейської Народно-Демократичної Республіки.
Хакерські групи, такі як Lazarus, давно націлюються на компанії цифрових активів у спробах обійти міжнародні санкції та фінансувати державні операції. Попередні операції включали шкідливі програми, написані на Go та Rust, але ця кампанія є однією з перших великих розгортань Nim проти цілей macOS.
Як раніше повідомлялося crypto.news, наприкінці 2023 року дослідники спостерігали ще одну кампанію, пов'язану з КНДР, яка використовувала шкідливі програми на базі Python, відомі як Kandykorn. Вони розповсюджувалися через сервери Discord, маскуючись під бот для арбітражу криптовалют, і в основному націлені на інженерів блокчейну, які використовують macOS.
Sentinel Labs попередила, що оскільки зловмисники все частіше використовують незвичайні мови програмування та складні техніки, традиційні припущення щодо безпеки macOS більше не є дійсними.
Протягом останніх місяців кілька шкідливих програм націлилися на користувачів Apple, включаючи SparkKitty, яка крала сіменні фрази через фотогалереї на iOS, і тройник, який замінив додатки для гаманців на macOS на шкідливу версію.