朝鮮黑客針對加密貨幣，使用僞裝成Zoom更新的Nim基礎惡意軟件

🔹 假冒的Zoom會議邀請和更新連結欺騙Web3團隊

🔹 新的NimDoor惡意軟件通過先進的規避技術滲透macOS

🔹 攻擊者竊取瀏覽器數據、密碼和Telegram聊天記錄

Web3 和加密公司遭到 NimDoor 惡意軟件攻擊 SentinelLabs的安全專家發現了一項針對Web3初創公司和加密貨幣公司的復雜惡意軟件活動。這些與北朝鮮團體有關的攻擊，利用社交工程和技術隱蔽的結合，部署了NimDoor惡意軟件，該惡意軟件使用鮮有應用的Nim編程語言編寫，以繞過殺毒軟件檢測。

設置：通過Telegram進行虛假的Zoom會議 黑客通過Telegram聯繫，僞裝成已知聯繫人。他們邀請受害者通過Calendly安排會議，然後發送看似Zoom軟件更新的連結。這些連結指向假域名，如support.us05web-zoom.cloud，模仿Zoom的合法網址，並托管惡意安裝文件。 這些文件包含數千行空白，使它們看起來 "合法地大"。隱藏其中的只有三行關鍵代碼，這些代碼下載並執行真正的攻擊有效載荷。

NimDoor惡意軟件：專門針對macOS的間諜軟件 一旦執行，NimDoor惡意軟件主要分爲兩個階段： 🔹 數據提取 – 從流行瀏覽器如Chrome、Firefox、Brave、Edge和Arc中竊取保存的密碼、瀏覽歷史和登入憑據。

🔹 系統持久性 – 通過隱蔽的後臺進程和僞裝的系統文件保持長期訪問。 一個關鍵組件專門針對Telegram，竊取加密聊天數據庫和解密密鑰，使攻擊者能夠離線訪問私人對話。

爲生存而建：規避和重裝技術 NimDoor採用了一系列先進的持久化機制： 🔹 如果用戶嘗試終止或刪除它，它會自動重新安裝自己

🔹 創建看起來像合法的 macOS 系統組件的隱藏文件和文件夾

🔹 每30秒連接到攻擊者的服務器以獲取指令，僞裝成正常的互聯網流量

🔹 延遲執行10分鍾以避免被安全軟件早期檢測

難以在沒有專業工具的情況下移除 由於這些技術，NimDoor非常難以用標準工具移除。通常需要專業的安全軟件或專業人員的介入才能完全清除感染的系統。

結論：現代網路攻擊現在看起來像日曆邀請 像NimDoor這樣的攻擊證明了朝鮮團體是多麼聰明地模仿日常工作流程，以滲透甚至是謹慎的目標。僞造的Zoom連結和看似無害的更新可能導致整個系統的完全妥協。 用戶絕不應從非官方來源下載更新，始終驗證域名，並對意外的軟件提示或邀請保持警惕。

#CyberSecurity , #朝鮮黑客 , #Web3Security , #加密新聞 , #黑客

保持領先一步 – 關注我們的個人資料，隨時了解加密貨幣世界中的一切重要信息！ 通知： ,,本文中提供的信息和觀點僅用於教育目的，不應被視爲任何情況下的投資建議。這些頁面的內容不應被視爲財務、投資或任何其他形式的建議。我們警告說，投資加密貨幣可能存在風險，並可能導致財務損失。“