Северокорейские хакеры сбрасывают вредоносное ПО NimDoor macOS с помощью поддельных обновлений Zoom
Новый отчет SentinelLabs, опубликованный 2 июля 2025 года, раскрывает сложную кампанию кибератак, нацеленную на компании Web3 и криптовалюты . Связанные с Северной Кореей злоумышленники агрессивно эксплуатируют системы macOS с помощью недавно обнаруженного вредоносного ПО под названием NimDoor, используя сложные многоэтапные атаки и зашифрованные сообщения, чтобы оставаться незамеченными.
Исследование, проведенное Филом Стоуксом и Раффаэле Сабато и предоставленное Hackread.com, подчеркивает переход злоумышленников к менее распространенным кроссплатформенным языкам программирования, таким как Nim. Это изменение усложняет усилия по обнаружению и анализу их вредоносной деятельности.
Группа также использует AppleScript хитрыми способами, не только для первоначального взлома, но и в качестве простых, труднообнаружимых бэкдоров. Их методы показывают явное улучшение в сохранении скрытности и стойкости, включая использование зашифрованной связи WebSocket (wss) и необычных способов сохранения доступа даже после того, как вредоносное ПО якобы закрыто.
Атаки начинаются с привычного приема социальной инженерии: хакеры выдают себя за доверенных лиц на таких платформах, как Telegram, приглашая жертв на поддельные конференции Zoom . Они отправляют электронные письма с вредоносным скриптом обновления Zoom SDK, который выглядит как легитимный, но на самом деле тщательно замаскирован тысячами строк скрытого кода. Затем этот скрипт загружает еще больше вредоносных программ с контролируемых злоумышленниками веб-сайтов, которые часто используют имена, похожие на настоящие домены Zoom, чтобы обмануть пользователей.
Оказавшись внутри, процесс заражения становится многоуровневым. Хакеры используют несколько инструментов, включая программу C++, которая внедряет вредоносный код в легитимные процессы, редкий прием для вредоносного ПО macOS. Это позволяет им красть конфиденциальные данные, такие как информация браузера, пароли Keychain, историю оболочки и истории чатов Telegram.
Согласно сообщению в блоге SentinelLabs, они также устанавливают вредоносное ПО NimDoor, скомпилированное Nim, которое устанавливает долгосрочный доступ. Это включает компонент под названием «GoogIe LLC» (обратите внимание на обманчивую заглавную «i» вместо строчной «L»), который помогает вредоносному ПО затеряться. Интересно, что вредоносное ПО включает уникальную функцию, которая запускает его основные компоненты и обеспечивает постоянный доступ, если пользователь пытается закрыть его или система перезагружается.
Анализ SentinelLabs показывает, что эти связанные с Северной Кореей субъекты постоянно разрабатывают новые способы обхода безопасности. Использование ими Nim, языка, который позволяет им встраивать сложные поведения в скомпилированные программы, затрудняет экспертам по безопасности понимание того, как работает вредоносное ПО. Кроме того, использование AppleScript для простых задач, таких как регулярная проверка на своих серверах, помогает им избегать использования более традиционных, легко обнаруживаемых хакерских инструментов.
В отчете далее показано, насколько важно для компаний укреплять свою защиту, поскольку эти угрозы постоянно меняются. Поскольку хакеры пробуют новые языки программирования и более продвинутые тактики, исследователям по кибербезопасности необходимо обновить способы обнаружения и остановки этих атак. SentinelLabs подводит итог, называя их «неизбежными атаками», к которым все должны быть готовы.
HackRead
