🔹 Yeni NimDoor kötü amaçlı yazılımı, gelişmiş kaçınma teknikleriyle macOS'a sızıyor.
🔹 Saldırganlar tarayıcı verilerini, şifreleri ve Telegram sohbetlerini çalıyor
Web3 ve Kripto Şirketleri NimDoor Kötü Amaçlı Yazılımı Tarafından Tehdit Altında
SentinelLabs'teki güvenlik uzmanları, Web3 girişimlerini ve kripto para firmalarını hedef alan karmaşık bir kötü amaçlı yazılım kampanyasını ortaya çıkardı. Kuzey Kore grupları ile bağlantılı olan saldırılar, antivirüs tespitini aşmak için nadiren kullanılan Nim programlama dilinde yazılmış NimDoor kötü amaçlı yazılımını dağıtmak amacıyla sosyal mühendislik ve teknik gizliliğin bir kombinasyonunu kullanıyor.
Kurulum: Telegram Üzerinden Sahte Zoom Toplantıları
Hackler, Telegram üzerinden tanıdık kişiler gibi davranarak iletişim kurar. Kurbanları, Calendly üzerinden toplantı ayarlamaya davet ederler, ardından onlara Zoom yazılım güncellemeleri gibi görünen bağlantılar gönderirler. Bu bağlantılar, Zoom'un meşru URL'lerini taklit eden support.us05web-zoom.cloud gibi sahte alan adlarına yönlendirir ve kötü amaçlı kurulum dosyalarını barındırır.
Bu dosyalar binlerce boşluk satırı içeriyor ve bu da onları "gerçekten büyük" gösteriyor. İçlerinde yalnızca gerçek saldırı yükünü indiren ve yürüten üç kritik kod satırı var.
NimDoor Kötü Amaçlı Yazılımı: macOS'u Hedef Alan Casus Yazılım
Bir kez çalıştırıldığında, NimDoor kötü amaçlı yazılımı iki ana aşamada çalışır:
🔹 Veri çıkarma – Chrome, Firefox, Brave, Edge ve Arc gibi popüler tarayıcılardan kaydedilmiş parolaları, tarayıcı geçmişlerini ve giriş bilgilerini çalmak.
🔹 Sistem sürekliliği – gizli arka plan süreçleri ve gizlenmiş sistem dosyaları aracılığıyla uzun vadeli erişimi sürdürme.
Özel olarak Telegram'ı hedef alan bir ana bileşen, şifreli sohbet veritabanlarını ve şifre çözme anahtarlarını çalarak saldırganlara özel konuşmalara çevrimdışı erişim sağlar.
Hayatta Kalmak İçin Yapıldı: Kaçış ve Yeniden Kurulum Teknikleri
NimDoor, bir dizi ileri düzey kalıcılık mekanizması kullanır:
🔹 Kullanıcılar bunu sonlandırmaya veya silmeye çalıştıklarında otomatik olarak kendini yeniden yükler.
🔹 Gerçekçi macOS sistem bileşenleri gibi görünen gizli dosyalar ve klasörler oluşturur.
🔹 Her 30 saniyede bir saldırganın sunucusuna normal internet trafiği gibi görünerek talimat almak için bağlanır.
🔹 Güvenlik yazılımı tarafından erken tespit edilmesini önlemek için yürütmeyi 10 dakika geciktirir.
Profesyonel Araçlar Olmadan Kaldırılması Zor
Bu teknikler nedeniyle, NimDoor'un standart araçlarla kaldırılması son derece zordur. Enfekte sistemleri tamamen temizlemek için genellikle özel güvenlik yazılımları veya profesyonel müdahale gereklidir.
Sonuç: Modern Siber Saldırılar Artık Takvim Davetleri Gibi Görünüyor
NimDoor gibi saldırılar, Kuzey Kore gruplarının dikkatli hedeflere sızmak için günlük iş akışlarını ne kadar akıllıca taklit ettiğini kanıtlıyor. Sahte Zoom bağlantıları ve masum görünen güncellemeler, sistemin tamamen ele geçirilmesine yol açabilir.
Kullanıcılar asla resmi olmayan kaynaklardan güncellemeler indirmemeli, her zaman alan adlarını doğrulamalı ve beklenmedik yazılım istemleri veya davetlerine karşı dikkatli olmalıdır.
Bir adım önde kalın – profilimizi takip edin ve kripto para dünyasındaki her önemli gelişmeden haberdar olun!
Duyuru:
,,Bu makalede sunulan bilgiler ve görüşler yalnızca eğitim amaçlıdır ve hiçbir durumda yatırım tavsiyesi olarak alınmamalıdır. Bu sayfaların içeriği finansal, yatırım veya başka herhangi bir tavsiye olarak değerlendirilmemelidir. Kripto paralara yatırım yapmanın riskli olabileceğini ve finansal kayıplara yol açabileceğini belirtiriz.“
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Kuzey Koreli Hackerlar, Zoom Güncellemeleri Olarak Gizlenen Nim Tabanlı Kötü Amaçlı Yazılımla Kripto'yu Hedef Alıyor
🔹 Sahte Zoom toplantı davetleri ve güncelleme bağlantıları Web3 ekiplerini kandırıyor
🔹 Yeni NimDoor kötü amaçlı yazılımı, gelişmiş kaçınma teknikleriyle macOS'a sızıyor.
🔹 Saldırganlar tarayıcı verilerini, şifreleri ve Telegram sohbetlerini çalıyor
Web3 ve Kripto Şirketleri NimDoor Kötü Amaçlı Yazılımı Tarafından Tehdit Altında SentinelLabs'teki güvenlik uzmanları, Web3 girişimlerini ve kripto para firmalarını hedef alan karmaşık bir kötü amaçlı yazılım kampanyasını ortaya çıkardı. Kuzey Kore grupları ile bağlantılı olan saldırılar, antivirüs tespitini aşmak için nadiren kullanılan Nim programlama dilinde yazılmış NimDoor kötü amaçlı yazılımını dağıtmak amacıyla sosyal mühendislik ve teknik gizliliğin bir kombinasyonunu kullanıyor.
Kurulum: Telegram Üzerinden Sahte Zoom Toplantıları Hackler, Telegram üzerinden tanıdık kişiler gibi davranarak iletişim kurar. Kurbanları, Calendly üzerinden toplantı ayarlamaya davet ederler, ardından onlara Zoom yazılım güncellemeleri gibi görünen bağlantılar gönderirler. Bu bağlantılar, Zoom'un meşru URL'lerini taklit eden support.us05web-zoom.cloud gibi sahte alan adlarına yönlendirir ve kötü amaçlı kurulum dosyalarını barındırır. Bu dosyalar binlerce boşluk satırı içeriyor ve bu da onları "gerçekten büyük" gösteriyor. İçlerinde yalnızca gerçek saldırı yükünü indiren ve yürüten üç kritik kod satırı var.
NimDoor Kötü Amaçlı Yazılımı: macOS'u Hedef Alan Casus Yazılım Bir kez çalıştırıldığında, NimDoor kötü amaçlı yazılımı iki ana aşamada çalışır: 🔹 Veri çıkarma – Chrome, Firefox, Brave, Edge ve Arc gibi popüler tarayıcılardan kaydedilmiş parolaları, tarayıcı geçmişlerini ve giriş bilgilerini çalmak.
🔹 Sistem sürekliliği – gizli arka plan süreçleri ve gizlenmiş sistem dosyaları aracılığıyla uzun vadeli erişimi sürdürme. Özel olarak Telegram'ı hedef alan bir ana bileşen, şifreli sohbet veritabanlarını ve şifre çözme anahtarlarını çalarak saldırganlara özel konuşmalara çevrimdışı erişim sağlar.
Hayatta Kalmak İçin Yapıldı: Kaçış ve Yeniden Kurulum Teknikleri NimDoor, bir dizi ileri düzey kalıcılık mekanizması kullanır: 🔹 Kullanıcılar bunu sonlandırmaya veya silmeye çalıştıklarında otomatik olarak kendini yeniden yükler.
🔹 Gerçekçi macOS sistem bileşenleri gibi görünen gizli dosyalar ve klasörler oluşturur.
🔹 Her 30 saniyede bir saldırganın sunucusuna normal internet trafiği gibi görünerek talimat almak için bağlanır.
🔹 Güvenlik yazılımı tarafından erken tespit edilmesini önlemek için yürütmeyi 10 dakika geciktirir.
Profesyonel Araçlar Olmadan Kaldırılması Zor Bu teknikler nedeniyle, NimDoor'un standart araçlarla kaldırılması son derece zordur. Enfekte sistemleri tamamen temizlemek için genellikle özel güvenlik yazılımları veya profesyonel müdahale gereklidir.
Sonuç: Modern Siber Saldırılar Artık Takvim Davetleri Gibi Görünüyor NimDoor gibi saldırılar, Kuzey Kore gruplarının dikkatli hedeflere sızmak için günlük iş akışlarını ne kadar akıllıca taklit ettiğini kanıtlıyor. Sahte Zoom bağlantıları ve masum görünen güncellemeler, sistemin tamamen ele geçirilmesine yol açabilir. Kullanıcılar asla resmi olmayan kaynaklardan güncellemeler indirmemeli, her zaman alan adlarını doğrulamalı ve beklenmedik yazılım istemleri veya davetlerine karşı dikkatli olmalıdır.
#CyberSecurity , #KuzeyKoreHackerleri , #Web3Security , #KriptoHaberleri , #Hack
Bir adım önde kalın – profilimizi takip edin ve kripto para dünyasındaki her önemli gelişmeden haberdar olun! Duyuru: ,,Bu makalede sunulan bilgiler ve görüşler yalnızca eğitim amaçlıdır ve hiçbir durumda yatırım tavsiyesi olarak alınmamalıdır. Bu sayfaların içeriği finansal, yatırım veya başka herhangi bir tavsiye olarak değerlendirilmemelidir. Kripto paralara yatırım yapmanın riskli olabileceğini ve finansal kayıplara yol açabileceğini belirtiriz.“