🔹 Фальшивые приглашения на Zoom-встречи и ссылки на обновления обманывают команды Web3

🔹 Новый вредоносный софт NimDoor проникает в macOS с помощью продвинутых техник уклонения

🔹 Злоумышленники крадут данные браузера, пароли и чаты в Telegram

Компании Web3 и криптовалюты под атакой вредоносного ПО NimDoor

Эксперты по безопасности из SentinelLabs раскрыли сложную кампанию вредоносного ПО, нацеленную на стартапы Web3 и компании криптовалют. Атаки, связанные с северокорейскими группами, используют комбинацию социальной инженерии и технической скрытности для развертывания вредоносного ПО NimDoor, написанного на редко используемом языке программирования Nim, чтобы обойти обнаружение антивирусом.

Настройка: Фальшивые Zoom-встречи через Telegram

Хакеры инициируют контакт через Telegram, выдавая себя за знакомых. Они приглашают жертв назначить встречи через Calendly, а затем отправляют им ссылки на то, что выглядит как обновления программного обеспечения Zoom. Эти ссылки ведут на фальшивые домены, такие как support.us05web-zoom.cloud, имитируя законные URL Zoom и хостя вредоносные файлы установки.

Эти файлы содержат тысячи строк пробелов, что делает их "законно большими." Скрытыми внутри являются только три ключевые строки кода, которые загружают и выполняют реальный атакующий нагрузку.

Вредоносное ПО NimDoor: Шпионское ПО, специально нацеленное на macOS

После выполнения вредоносное ПО NimDoor работает в двух основных фазах:

🔹 Извлечение данных – кража сохраненных паролей, истории просмотров и учетных данных для входа из популярных браузеров, таких как Chrome, Firefox, Brave, Edge и Arc.

🔹 Сохранение системы – поддержание долгосрочного доступа через скрытые фоновые процессы и замаскированные системные файлы.

Ключевой компонент специально нацелен на Telegram, крадя зашифрованные базы данных чатов и ключи расшифровки, предоставляя злоумышленникам доступ к личным разговорам в оффлайне.

Создан для выживания: Техники уклонения и переустановки

NimDoor использует широкий спектр продвинутых механизмов постоянства:

🔹 Автоматически переустанавливается, если пользователи пытаются завершить или удалить его

🔹 Создает скрытые файлы и папки, которые выглядят как законные компоненты системы macOS

🔹 Подключается к серверу злоумышленника каждые 30 секунд для получения инструкций, маскируясь под обычный интернет-трафик

🔹 Задерживает выполнение на 10 минут, чтобы избежать раннего обнаружения программным обеспечением безопасности

Сложно удалить без профессиональных инструментов

Из-за этих техник NimDoor крайне сложно удалить стандартными инструментами. Часто требуется специализированное программное обеспечение для безопасности или профессиональное вмешательство, чтобы полностью очистить зараженные системы.

Заключение: Современные кибератаки теперь выглядят как приглашения в календаре

Атаки, подобные NimDoor, доказывают, насколько хитро группы из Северной Кореи имитируют повседневные рабочие процессы, чтобы проникнуть даже в осторожные цели. Фальшивые ссылки Zoom и обновления, выглядящие безобидно, могут привести к полному comprometированию системы.

Пользователи никогда не должны загружать обновления из неофициальных источников, всегда проверяйте доменные имена и будьте бдительны к неожиданным запросам на установку программного обеспечения или приглашениям.


\u003ct-203/\u003e, \u003ct-205/\u003e, \u003ct-207/\u003e, \u003ct-209/\u003e, \u003ct-211/\u003e

Будьте на шаг впереди – подписывайтесь на наш профиль и оставайтесь в курсе всего важного в мире криптовалют!

Уведомление:

,,Информация и мнения, представленные в этой статье, предназначены исключительно для образовательных целей и не должны восприниматься как инвестиционные советы в любой ситуации. Содержимое этих страниц не должно рассматриваться как финансовые, инвестиционные или любые другие формы советов. Мы предупреждаем, что инвестиции в криптовалюты могут быть рискованными и могут привести к финансовым потерям.“