Північнокорейські хакери націлилися на крипто-індустрію за допомогою шкідливого програмного забезпечення на основі Nim, замаскованого під оновлення Zoom
🔹 Фальшиві запрошення на Zoom-зустрічі та посилання на оновлення обманюють команди Web3
🔹 Новий вірус NimDoor проникає в macOS з використанням вдосконалених технік ухилення
🔹 Зловмисники викрадають дані браузера, паролі та чати Telegram
Компанії Web3 та криптовалют під атакою шкідливого програмного забезпечення NimDoor
Експерти з безпеки SentinelLabs виявили складну кампанію шкідливого програмного забезпечення, спрямовану на стартапи Web3 та криптовалютні компанії. Атаки, пов'язані з північнокорейськими групами, використовують комбінацію соціальної інженерії та технічної прихованості для розгортання шкідливого ПЗ NimDoor, написаного на рідко використовуваній мові програмування Nim, щоб обійти виявлення антивірусом.
Налаштування: Фальшиві зустрічі в Zoom через Telegram
Зловмисники встановлюють контакт через Telegram, видаючи себе за відомі контакти. Вони запрошують жертв запланувати зустрічі через Calendly, а потім надсилають їм посилання на те, що, здається, є оновленнями програмного забезпечення Zoom. Ці посилання ведуть до підроблених доменів, таких як support.us05web-zoom.cloud, які імітують законні URL-адреси Zoom і містять шкідливі файли для встановлення.
Ці файли містять тисячі рядків пробілів, що робить їх "легітимно великими". Серед них лише три критично важливих рядки коду, які завантажують і виконують реальний атакуючий вантаж.
Malware NimDoor: Шпигунське ПЗ, яке спеціально націлене на macOS
Після виконання шкідливе програмне забезпечення NimDoor працює в двох основних фазах:
🔹 Витягування даних – крадіжка збережених паролів, історій перегляду та облікових даних для входу з популярних браузерів, таких як Chrome, Firefox, Brave, Edge та Arc.
🔹 Постійність системи – підтримка доступу в довгостроковій перспективі через приховані фонові процеси та замасковані системні файли.
Ключовий компонент спеціально націлений на Telegram, викрадаючи зашифровані бази даних чатів та ключі дешифрування, надаючи зловмисникам доступ до приватних розмов офлайн.
Створено для виживання: техніки ухилення та повторної інсталяції
NimDoor використовує ряд розвинених механізмів збереження:
🔹 Автоматично перевстановлюється, якщо користувачі намагаються його завершити чи видалити
🔹 Створює приховані файли та папки, які виглядають як законні компоненти системи macOS
🔹 Підключається до сервера атакуючого кожні 30 секунд для отримання інструкцій, маскуючись під звичайний інтернет-трафік
🔹 Затримує виконання на 10 хвилин, щоб уникнути раннього виявлення охоронним програмним забезпеченням
Важко видалити без професійних інструментів
Через ці техніки, NimDoor є надзвичайно важким для видалення стандартними засобами. Для повного очищення заражених систем часто потрібне спеціалізоване програмне забезпечення для безпеки або професійне втручання.
Висновок: Сучасні кібернапади тепер виглядають як запрошення в календарі
Атаки на зразок NimDoor доводять, як вміло північнокорейські групи імітують щоденні робочі процеси, щоб проникнути навіть у обережні цілі. Фальшиві посилання Zoom та невинні оновлення можуть призвести до повного компрометації системи.
Користувачі ніколи не повинні завантажувати оновлення з неофіційних джерел, завжди перевіряйте доменні імена та залишайтеся пильними щодо несподіваних запитів або запрошень на встановлення програмного забезпечення.
Будьте на крок попереду – слідкуйте за нашим профілем і будьте в курсі всього важливого у світі криптовалют!
Увага:
,,Інформація та погляди, представлені в цій статті, призначені виключно для навчальних цілей і не повинні сприйматися як інвестиційна порада в будь-якій ситуації. Вміст цих сторінок не слід розглядати як фінансову, інвестиційну або будь-яку іншу форму поради. Ми застерігаємо, що інвестування в криптовалюти може бути ризикованим і може призвести до фінансових втрат.“
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Північнокорейські хакери націлилися на крипто-індустрію за допомогою шкідливого програмного забезпечення на основі Nim, замаскованого під оновлення Zoom
🔹 Фальшиві запрошення на Zoom-зустрічі та посилання на оновлення обманюють команди Web3
🔹 Новий вірус NimDoor проникає в macOS з використанням вдосконалених технік ухилення
🔹 Зловмисники викрадають дані браузера, паролі та чати Telegram
Компанії Web3 та криптовалют під атакою шкідливого програмного забезпечення NimDoor Експерти з безпеки SentinelLabs виявили складну кампанію шкідливого програмного забезпечення, спрямовану на стартапи Web3 та криптовалютні компанії. Атаки, пов'язані з північнокорейськими групами, використовують комбінацію соціальної інженерії та технічної прихованості для розгортання шкідливого ПЗ NimDoor, написаного на рідко використовуваній мові програмування Nim, щоб обійти виявлення антивірусом.
Налаштування: Фальшиві зустрічі в Zoom через Telegram Зловмисники встановлюють контакт через Telegram, видаючи себе за відомі контакти. Вони запрошують жертв запланувати зустрічі через Calendly, а потім надсилають їм посилання на те, що, здається, є оновленнями програмного забезпечення Zoom. Ці посилання ведуть до підроблених доменів, таких як support.us05web-zoom.cloud, які імітують законні URL-адреси Zoom і містять шкідливі файли для встановлення. Ці файли містять тисячі рядків пробілів, що робить їх "легітимно великими". Серед них лише три критично важливих рядки коду, які завантажують і виконують реальний атакуючий вантаж.
Malware NimDoor: Шпигунське ПЗ, яке спеціально націлене на macOS Після виконання шкідливе програмне забезпечення NimDoor працює в двох основних фазах: 🔹 Витягування даних – крадіжка збережених паролів, історій перегляду та облікових даних для входу з популярних браузерів, таких як Chrome, Firefox, Brave, Edge та Arc.
🔹 Постійність системи – підтримка доступу в довгостроковій перспективі через приховані фонові процеси та замасковані системні файли. Ключовий компонент спеціально націлений на Telegram, викрадаючи зашифровані бази даних чатів та ключі дешифрування, надаючи зловмисникам доступ до приватних розмов офлайн.
Створено для виживання: техніки ухилення та повторної інсталяції NimDoor використовує ряд розвинених механізмів збереження: 🔹 Автоматично перевстановлюється, якщо користувачі намагаються його завершити чи видалити
🔹 Створює приховані файли та папки, які виглядають як законні компоненти системи macOS
🔹 Підключається до сервера атакуючого кожні 30 секунд для отримання інструкцій, маскуючись під звичайний інтернет-трафік
🔹 Затримує виконання на 10 хвилин, щоб уникнути раннього виявлення охоронним програмним забезпеченням
Важко видалити без професійних інструментів Через ці техніки, NimDoor є надзвичайно важким для видалення стандартними засобами. Для повного очищення заражених систем часто потрібне спеціалізоване програмне забезпечення для безпеки або професійне втручання.
Висновок: Сучасні кібернапади тепер виглядають як запрошення в календарі Атаки на зразок NimDoor доводять, як вміло північнокорейські групи імітують щоденні робочі процеси, щоб проникнути навіть у обережні цілі. Фальшиві посилання Zoom та невинні оновлення можуть призвести до повного компрометації системи. Користувачі ніколи не повинні завантажувати оновлення з неофіційних джерел, завжди перевіряйте доменні імена та залишайтеся пильними щодо несподіваних запитів або запрошень на встановлення програмного забезпечення.
#CyberSecurity , #ПівнічнаКореяХакери , #Web3Security , #КриптоНовини , #Хак
Будьте на крок попереду – слідкуйте за нашим профілем і будьте в курсі всього важливого у світі криптовалют! Увага: ,,Інформація та погляди, представлені в цій статті, призначені виключно для навчальних цілей і не повинні сприйматися як інвестиційна порада в будь-якій ситуації. Вміст цих сторінок не слід розглядати як фінансову, інвестиційну або будь-яку іншу форму поради. Ми застерігаємо, що інвестування в криптовалюти може бути ризикованим і може призвести до фінансових втрат.“