Северные киберпреступники нацелены на крипто-фирмы, используя новую напряженность вредоносного ПО, который использует устройства Apple в многоступенчатой атаке.
Исследователи в фирме кибербезопасности Sentinel Labs выпустили предупреждение о кампании, которая использует социальную инженерию и передовые методы устойчивости для компромисса систем MacOS.
Удолошение, получившее название «Нимдур», написано на менее известном языке программирования NIM и способно уклоняться от традиционных антивирусных инструментов.
Согласно Sentinel Labs, злоумышленники инициируют контакт, выдавая себя за доверенных людей на платформах обмена сообщениями, такими как Telegram. Жертвы, которые в этом случае, по -видимому, являются сотрудниками фирм Blockchain или Web3, заманиваются в поддельные собрания зум -зум, и им дают указание установить то, что кажется обычным обновлением SDK.
После выполнения сценарий обновления устанавливает несколько этапов вредоносного ПО на устройство Mac жертвы. К ним относятся маяки на основе AppleScript, сценарии Bash для кражи учетных данных и двоичные файлы, составленные в NIM и C ++ для постоянства и удаленного выполнения команды.
Двоичные файлы — это автономные программы, которые выполняют определенные задачи в цепочке вредоносных программ. Один двоичный файл, называемый Corekitagent, использует механизм постоянства на основе сигналов, который работает, когда пользователи пытаются закрыть вредоносное ПО, позволяя ему оставаться активным даже после перезагрузки системы.
Криптовалюты являются ключевой целью операции. Улбпрограммное обеспечение специально ищет учетные данные и данные приложений, связанные с цифровыми кошельками.
Улвнативное ПО выполняет сценарии, предназначенные для извлечения информации из популярных браузеров, таких как Chrome, Brave, Edge и Firefox, а также менеджер паролей для ключей от Apple. Другой компонент предназначен для зашифрованной базы данных Telegram и файлов ключей, потенциально обнажая фразы семян кошелька и частные ключи, обмениваемые приложением обмена сообщениями.
Хакеры северокорейских хакеры ответственности
Sentinel Labs объяснила кампанию с актером угроз, выравниваемого в Северной Корее, продолжая модель кибератак, ориентированных на крипто, со стороны Демократической Народной Республики Кореи.
Хакерские группы, такие как Lazarus, давно направлены на компании по цифровым активам в усилиях по обходу международных санкций и финансировании государственных операций. В предыдущих операциях было написано вредоносное ПО, написанное в Go и Rust, но эта кампания знаменует собой одно из первых крупных развертываний NIM против MacOS -целей.
Как ранее сообщалось в Crypto.News, в конце 2023 года исследователи наблюдали еще одну кампанию, связанную с КНРК, в которой развернулась вредоносная программа на основе Python, известную как Kandykorn. Он был распределен по серверам дискордов, замаскированных под крипто -арбитражного бота, и в основном целенаправленные инженеры блокчейна с использованием macOS.
Sentinel Labs предупредил, что, поскольку актеры угроз все чаще принимают неясные языки программирования и сложные методы, традиционные предположения безопасности вокруг MacOS больше не действительны.
В течение последних месяцев у нескольких вредоносных программ нацеливались пользователи Apple, в том числе Sparkkitty, которые украли семенные фразы с помощью фотогалерей на iOS, и троян, который заменил приложения для кошелька на macOS со злой версией.
