Фахівці з SentinelLabs повідомили про нову кібератаку, що походить від північнокорейських хакерів, яка націлена на користувачів macOS з метою крадіжки криптовалюти та чутливої інформації, як зазначає TechRadar.
Вони виявили бекдор, відомий як NimDoor, створений на маловідомій мові програмування Nim, що дозволяє уникати виявлення звичайними антивірусами. Після установки NimDoor використовує AppleScript для зв’язку та асинхронних таймерів сну, що дозволяє шкідливому ПЗ залишатися непоміченим у системі та обходити засоби безпеки. Важливо підкреслити, що термін зв’язку в кібербезпеці відноситься до техніки, за допомогою якої шкідливе програмне забезпечення періодично, за визначеними інтервалами, з’єднується з сервером управління для передачі даних та отримання інструкцій.
Зазвичай атака починається через Telegram: жертви отримують повідомлення від уявного надійного контакту з запрошенням на зустріч у Zoom. Коли вони натискають на посилання, відкривається підроблена сторінка Zoom з проханням завантажити "оновлення" для участі в дзвінку. Натомість завантажується шкідливий код NimDoor, який краде різноманітні дані:
- Історію переглядів у браузері та пошукові запити;
- Файли cookie та чати в Telegram;
- Паролі з macOS Keychain.
"Це викликає занепокоєння в контексті розвитку кіберможливостей Північної Кореї, особливо через використання тренду дистанційної роботи та хибного відчуття безпеки серед користувачів Mac", — зазначили в SentinelLabs.
Державні хакерські групи Північної Кореї, зокрема відомі Lazarus Group, вже раніше викрадали кошти в криптовалюті для фінансування своїх програм. З 2021 до початку 2025 року вони вкрали понад $3,4 мільярда, зокрема:
- Атака на біржу ByBit у лютому 2025 року: близько $1,5 млрд у токенах;
- Злом Ronin Bridge у березні 2022 року: близько $600 млн;
- Атака на Poly Network у 2021 році: близько $600 млн.
Експерти радять всім користувачам macOS бути уважними: не відкривати підозрілі посилання, навіть якщо вони надходять від відомих осіб, і встановлювати оновлення лише через офіційні канали, а не з браузерних спливаючих вікон.
