Северокорейские хакеры атакуют криптопроекты с помощью необычного эксплойта для Mac

NimDoor Malware Targets Crypto Wallets on Macs

Согласно отчету компании Sentinel Labs, опубликованному в среду, злоумышленники выдают себя за доверенное лицо в таких приложениях для обмена сообщениями, как Telegram, затем запрашивают фальшивую встречу Zoom по ссылке Google Meet, после чего отправляют жертве файл обновления Zoom.

После выполнения «обновления» полезная нагрузка устанавливает на компьютеры Mac вредоносное ПО под названием «NimDoor», которое затем нацеливается на криптовалютные кошельки и пароли браузера.

Хотя вектор атаки относительно распространен, вредоносное ПО написано на необычном языке программирования Nim, что затрудняет его обнаружение программами безопасности.

"Хотя ранние стадии атаки проходят по привычной для КНДР схеме с использованием социальной инженерии, скриптов-заманух и поддельных обновлений, использование скомпилированных на Nim двоичных файлов на macOS - более необычный выбор, - говорят исследователи.

Nim - относительно новый и редкий язык программирования, который становится популярным среди киберпреступников, поскольку он может работать на Windows, Mac и Linux без изменений, а значит, хакеры могут написать одну часть вредоносного ПО, которое будет работать везде.

Связанные с Северной Кореей угрозы ранее экспериментировали с языками программирования Go и Rust, но Nim предлагает значительные преимущества, говорят исследователи Sentinel.

Полезная нагрузка содержит похититель учетных данных, «предназначенный для бесшумного извлечения информации браузера и системного уровня, ее упаковки и эксфильтрации», говорят они.

Поставщик решений для кибербезопасности Huntress сообщил в июне, что аналогичное вредоносное ПО инкурсы были связаны с северокорейской государственной хакерской группой «BlueNoroff».

Вредоносная программа используется для кейлоггинга, записи экрана, извлечения буфера обмена, а также имеет «полнофункциональный похититель информации» под названием CryptoBot, который «ориентирован на кражу криптовалюты». Он проникает в расширения браузера, выискивая плагины для кошельков.

На этой неделе компания SlowMist, специализирующаяся на безопасности блокчейна, предупредила пользователей о «масштабной вредоносной кампании» с участием десятков поддельных расширений для Firefox, предназначенных для кражи учетных данных криптовалютных кошельков.

«За последние несколько лет мы увидели, что macOS стала более серьезной целью для субъектов угроз, особенно в отношении высокоразвитых злоумышленников, спонсируемых государством», - заключили исследователи Sentinel Labs, развенчав миф о том, что на Mac не распространяются вирусы.

Еженедельный обзор ключевых бизнес-тенденций в области блокчейна и криптовалют, от шумихи стартапов до изменений в законодательстве. Получайте ценные сведения, чтобы ориентироваться на рынке и находить финансовые возможности. Доставляется каждый четверг