Исследователи из SentinelLabs выявили новую кибератаку, осуществляемую хакерами, связанными с Северной Кореей, нацеленной на пользователей macOS с целью кражи криптовалюты и конфиденциальной информации, сообщает TechRadar.
Они идентифицировали бэкдор под названием NimDoor, написанный на относительно редком языке программирования Nim, который помогает избежать обнаружения традиционными антивирусами. После установки NimDoor использует AppleScript для сигнализации и асинхронных таймеров сна, что позволяет вредоносному ПО сохранять свое присутствие в системе и обходить средства безопасности. Следует отметить, что термин сигнализация в кибербезопасности относится к технике, с помощью которой вредоносное ПО периодически, с определенными интервалами, связывается с сервером управления для передачи данных и получения инструкций.
Атака обычно начинается в Telegram: жертвы получают сообщение от вымышленного доверенного контакта с приглашением на встречу в Zoom. При нажатии на ссылку открывается поддельная страница Zoom с запросом установить "обновление" для участия в звонке. Вместо этого загружается вредоносный код NimDoor, который крадет различные данные:
- Историю просмотров в браузере и поисковые запросы;
- Файлы cookie и чаты в Telegram;
- Пароли из macOS Keychain.
"Это вызывает беспокойство с точки зрения развития киберспособностей Северной Кореи, особенно из-за эксплуатации тенденции удаленной работы и ложного чувства безопасности среди пользователей Mac", — отметили в SentinelLabs.
Государственные хакерские группы Северной Кореи, в частности известная Lazarus Group, уже ранее крали средства в криптовалюте для финансирования своих программ. С 2021 года до начала 2025 года они украли более $3,4 миллиарда, в том числе:
- Атака на биржу ByBit в феврале 2025 года: около $1,5 миллиарда в токенах;
- Взлом Ronin Bridge в марте 2022 года: около $600 миллионов;
- Атака на Poly Network в 2021 году: около $600 миллионов.
Специалисты советуют всем пользователям macOS быть осторожными: не открывать подозрительные ссылки, даже если они приходят от знакомых, и устанавливать обновления только через официальные каналы, а не из всплывающих окон браузера.
