Сложная кибератака NimDoor на macOS
Исследователи SentinelLabs выявили продвинутую хакерскую кампанию NimDoor, нацеленную на пользователей macOS, которую, по их данным, организовали злоумышленники из Северной Кореи. Атака использует цепочки внедрений, вредоносный код на языке Nim и тщательно замаскированные сценарии рассылки.
Будьте внимательны: новая кампания NimDoor представляет угрозу для macOS
Исследовательское подразделение SentinelLabs при компании SentinelOne выявило новую целенаправленную кибератаку на устройства macOS, предположительно организованную хакерами из Северной Кореи. Кампания получила название NimDoor и отличается высокой степенью сложности, использованием нестандартных языков программирования и многоуровневыми цепочками заражения.
Метод атаки
Согласно отчету SentinelLabs, вредоносная кампания начинается с социальной инженерии: злоумышленники представляются доверенными лицами и предлагают организовать встречу через сервис Calendly. После этого жертва получает электронное письмо с предложением обновить Zoom. В предложенном скрипте содержатся три строки вредоносного кода, которые запускают второй этап заражения.
Дальнейшее заражение происходит через легитимную ссылку Zoom, ведущую на вредоносный сервер. Оттуда загружаются два бинарных файла, инициирующих параллельные процессы: один — для сбора системной информации, второй — для установления устойчивого доступа.
В завершении используются два Bash-скрипта: первый анализирует данные из популярных браузеров (Arc, Brave, Firefox, Chrome и Edge), второй — извлекает зашифрованные данные из Telegram и соответствующий blob-файл для расшифровки. Все данные передаются на удалённый сервер под контролем атакующих.
Особенность этой кампании — высокий уровень маскировки и применение языка Nim, затрудняющего анализ со стороны специалистов по информационной безопасности.
Финансовый след
Независимый блокчейн-аналитик под псевдонимом ZachXBT раскрыл информацию о подозрительных транзакциях, указывающих на участие северокорейских разработчиков. По его данным, примерно 2,76 млн долларов в USDC ежемесячно отправлялись с кошельков Circle на адреса, связанные с ИТ-специалистами из КНДР.
Некоторые из этих адресов были ранее связаны с фигурантами санкционных списков, включая Сим Хён Сопа, который был внесён в черный список Tether в 2023 году. Аналитик предполагает, что задействованные ИТ-работники действуют под прикрытием в различных международных проектах, а факт их найма может указывать на высокий риск компрометации стартапа.
💸💲🧠 Получите до 5020 USDT в качестве приветственного вознаграждения и дополнительные 1025 USDT за переход по этой рекомендации на бирже Bybit
Бесплатный депозит $25 от Binance
При регистрации бонус $25 всем новым пользователям биржи Binance. Без доп. условий.
