Дослідники з SentinelLabs виявили нову кібератаку, яку здійснюють пов’язані з Північною Кореєю хакери, націлену на користувачів macOS для викрадення криптовалюти та іншої конфіденційної інформації, повідомляє TechRadar.
Вони ідентифікували бекдор під назвою NimDoor, написаний на відносно рідкій мові програмування Nim, що допомагає уникати виявлення традиційними антивірусами. Після інсталяції NimDoor використовує AppleScript для beaconing та асинхронних таймерів сну, що дозволяє шкідливому ПЗ зберігати присутність на системі та обходити засоби безпеки. Варто зазначити, що термін beaconing в кібербезпеці означає техніку, за допомогою якої шкідливе програмне забезпечення періодично, часто через рівні проміжки часу, зв'язується з сервером управління та контролю (C2), щоб повідомити про свою присутність і отримати інструкції або передати дані.
Атака зазвичай починається в Telegram: жертвам надходить повідомлення від уявного довіреного контакту з запрошенням на Zoom-зустріч. При натисканні на посилання відкривається підроблена сторінка Zoom із запитом встановити "оновлення" для участі в дзвінку. Натомість завантажується шкідливий код NimDoor, який викрадає різноманітні дані:
- Історію переглядів в браузері та пошукові запити;
- Файли cookie та чати в Telegram;
- Паролі з macOS Keychain.
"Це занепокоює з погляду розвитку північнокорейських кіберможливостей, особливо через експлуатацію тренду дистанційної роботи та помилкового відчуття безпеки серед користувачів Mac", — зазначили в SentinelLabs.
Державні хакерські групи Північної Кореї, зокрема відомі Lazarus Group, вже раніше викрадали кошти в криптовалюті для фінансування своїх програм. З 2021 до початку 2025 року вони викрали понад $3,4 мільярда, зокрема:
- Атака на біржу ByBit у лютому 2025 року: близько $1,5 млрд у токенах;
- Злом Ronin Bridge у березні 2022 року: близько $600 млн;
- Атака на Poly Network у 2021 році: близько $600 млн.
Фахівці радять усім користувачам macOS бути обережними: не відкривати підозрілі посилання, навіть якщо вони надходять від знайомих, і встановлювати оновлення лише через офіційні канали, а не з браузерних спливаючих вікон.