🔹 Ложные приглашения на встречи Zoom и обновленные ссылки обманывают команды Web3
🔹 Новый вредоносный софт NimDoor проникает в macOS с использованием современных методов уклонения
🔹 Злоумышленники крадут данные браузера, пароли и чаты Telegram
Компании Web3 и криптовалюты под атакой вредоносного ПО NimDoor
Эксперты по безопасности в SentinelLabs обнаружили сложную кампанию вредоносного ПО, нацеленную на стартапы Web3 и криптовалютные компании. Атаки, связанные с северокорейскими группами, используют комбинацию социальной инженерии и технической скрытности для развертывания вредоносного ПО NimDoor, написанного на редко используемом языке программирования Nim, чтобы обойти обнаружение антивирусами.
Настройка: Фальшивые встречи в Zoom через Telegram
Хакеры устанавливают контакт через Telegram, выдавая себя за известных контактов. Они приглашают жертв назначить встречи через Calendly, а затем отправляют им ссылки на то, что кажется обновлениями программного обеспечения Zoom. Эти ссылки ведут на фальшивые домены, такие как support.us05web-zoom.cloud, имитируя легитимные URL Zoom и размещая вредоносные установочные файлы.
Эти файлы содержат тысячи строк пробелов, что делает их "легитимно большими". Скрытые внутри находятся только три ключевые строки кода, которые загружают и выполняют настоящий вредоносный код.
Malware NimDoor: Шпионское ПО, специфически нацеленное на macOS
После выполнения вредоносное ПО NimDoor работает в два основных этапа:
🔹 Извлечение данных – кража сохранённых паролей, истории браузеров и учётных данных для входа из популярных браузеров, таких как Chrome, Firefox, Brave, Edge и Arc.
🔹 Постоянство системы – поддержание долгосрочного доступа через скрытые фоновые процессы и замаскированные системные файлы.
Ключевой компонент специально нацелен на Telegram, похищая зашифрованные базы данных чатов и ключи дешифрования, предоставляя злоумышленникам доступ к приватным разговорам в оффлайне.
Создано для выживания: Техники уклонения и переустановки
NimDoor использует ряд современных механизмов постоянства:
🔹 Автоматически переустанавливается, если пользователи пытаются его завершить или удалить
🔹 Создает скрытые файлы и папки, которые выглядят как законные компоненты macOS.
🔹 Подключается к серверу злоумышленника каждые 30 секунд для получения инструкций, замаскированных под обычный интернет-трафик
🔹 Задержка выполнения на 10 минут, чтобы избежать раннего обнаружения антивирусным ПО
Трудно удалить без профессиональных инструментов
Из-за этих техник NimDoor чрезвычайно трудно удалить стандартными инструментами. Часто требуется специализированное программное обеспечение безопасности или профессиональное вмешательство, чтобы полностью очистить зараженные системы.
Заключение: Современные кибератаки теперь выглядят как приглашения в календарь
Атаки, такие как NimDoor, доказывают, насколько хитро северокорейские группы имитируют повседневные рабочие процессы, чтобы проникнуть даже в осторожные цели. Ложные ссылки Zoom и невинно выглядящие обновления могут привести к полному компромету системы.
Пользователи никогда не должны загружать обновления из неофициальных источников, всегда проверять доменные имена и оставаться бдительными к неожиданным запросам на установку программного обеспечения или приглашениям.
Будьте на шаг впереди – следите за нашим профилем и будьте в курсе всего важного в мире криптовалют!
Уведомление:
,,Информация и мнения, представленные в этой статье, предназначены исключительно для образовательных целей и не должны восприниматься как инвестиционные рекомендации в любой ситуации. Содержимое этих страниц не следует рассматривать как финансовые, инвестиционные или любые другие советы. Мы предупреждаем, что инвестиции в криптовалюты могут быть рискованными и могут привести к финансовым потерям.“
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Северокорейские Хакеры нацеливаются на Крипто с помощью вредоносного ПО на основе Nim, замаскированного под обновления Zoom
🔹 Ложные приглашения на встречи Zoom и обновленные ссылки обманывают команды Web3
🔹 Новый вредоносный софт NimDoor проникает в macOS с использованием современных методов уклонения
🔹 Злоумышленники крадут данные браузера, пароли и чаты Telegram
Компании Web3 и криптовалюты под атакой вредоносного ПО NimDoor Эксперты по безопасности в SentinelLabs обнаружили сложную кампанию вредоносного ПО, нацеленную на стартапы Web3 и криптовалютные компании. Атаки, связанные с северокорейскими группами, используют комбинацию социальной инженерии и технической скрытности для развертывания вредоносного ПО NimDoor, написанного на редко используемом языке программирования Nim, чтобы обойти обнаружение антивирусами.
Настройка: Фальшивые встречи в Zoom через Telegram Хакеры устанавливают контакт через Telegram, выдавая себя за известных контактов. Они приглашают жертв назначить встречи через Calendly, а затем отправляют им ссылки на то, что кажется обновлениями программного обеспечения Zoom. Эти ссылки ведут на фальшивые домены, такие как support.us05web-zoom.cloud, имитируя легитимные URL Zoom и размещая вредоносные установочные файлы. Эти файлы содержат тысячи строк пробелов, что делает их "легитимно большими". Скрытые внутри находятся только три ключевые строки кода, которые загружают и выполняют настоящий вредоносный код.
Malware NimDoor: Шпионское ПО, специфически нацеленное на macOS После выполнения вредоносное ПО NimDoor работает в два основных этапа: 🔹 Извлечение данных – кража сохранённых паролей, истории браузеров и учётных данных для входа из популярных браузеров, таких как Chrome, Firefox, Brave, Edge и Arc.
🔹 Постоянство системы – поддержание долгосрочного доступа через скрытые фоновые процессы и замаскированные системные файлы. Ключевой компонент специально нацелен на Telegram, похищая зашифрованные базы данных чатов и ключи дешифрования, предоставляя злоумышленникам доступ к приватным разговорам в оффлайне.
Создано для выживания: Техники уклонения и переустановки NimDoor использует ряд современных механизмов постоянства: 🔹 Автоматически переустанавливается, если пользователи пытаются его завершить или удалить
🔹 Создает скрытые файлы и папки, которые выглядят как законные компоненты macOS.
🔹 Подключается к серверу злоумышленника каждые 30 секунд для получения инструкций, замаскированных под обычный интернет-трафик
🔹 Задержка выполнения на 10 минут, чтобы избежать раннего обнаружения антивирусным ПО
Трудно удалить без профессиональных инструментов Из-за этих техник NimDoor чрезвычайно трудно удалить стандартными инструментами. Часто требуется специализированное программное обеспечение безопасности или профессиональное вмешательство, чтобы полностью очистить зараженные системы.
Заключение: Современные кибератаки теперь выглядят как приглашения в календарь Атаки, такие как NimDoor, доказывают, насколько хитро северокорейские группы имитируют повседневные рабочие процессы, чтобы проникнуть даже в осторожные цели. Ложные ссылки Zoom и невинно выглядящие обновления могут привести к полному компромету системы. Пользователи никогда не должны загружать обновления из неофициальных источников, всегда проверять доменные имена и оставаться бдительными к неожиданным запросам на установку программного обеспечения или приглашениям.
#CyberSecurity , #СеверныеКореяХакеры , #Web3Security , #КриптоНовости , #Хак
Будьте на шаг впереди – следите за нашим профилем и будьте в курсе всего важного в мире криптовалют! Уведомление: ,,Информация и мнения, представленные в этой статье, предназначены исключительно для образовательных целей и не должны восприниматься как инвестиционные рекомендации в любой ситуации. Содержимое этих страниц не следует рассматривать как финансовые, инвестиционные или любые другие советы. Мы предупреждаем, что инвестиции в криптовалюты могут быть рискованными и могут привести к финансовым потерям.“