🔹 Invitațiile false la întâlniri Zoom și linkurile de actualizare păcălesc echipele Web3
🔹 Noua malware NimDoor se infiltrează în macOS cu tehnici avansate de evaziune
🔹 Atacatorii fură datele din browser, parolele și conversațiile de pe Telegram
Companiile Web3 și Crypto sub asediu de malware-ul NimDoor
Experții în securitate de la SentinelLabs au descoperit o campanie sofisticată de malware care vizează startup-urile Web3 și firmele de criptomonede. Atacurile, legate de grupuri nord-coreene, folosesc o combinație de inginerie socială și stealth tehnic pentru a desfășura malware-ul NimDoor, scris în rar utilizatul limbaj de programare Nim pentru a evita detectarea antivirus.
Configurația: Întâlniri false Zoom prin Telegram
Hackerii inițiază contactul prin Telegram, pozând ca contacte cunoscute. Ei invită victimele să programeze întâlniri prin Calendly, apoi le trimit linkuri către ceea ce par a fi actualizări ale software-ului Zoom. Aceste linkuri conduc la domenii false precum support.us05web-zoom.cloud, imitând URL-urile legitime ale Zoom și găzduind fișiere de instalare malițioase.
Aceste fișiere conțin mii de linii de spații albe, făcându-le să pară "legitim mari." Ascunse în interior sunt doar trei linii cruciale de cod, care descarcă și execută încărcătura reală a atacului.
Malware NimDoor: Spyware specific destinat macOS
Odată executat, malware-ul NimDoor funcționează în două etape principale:
🔹 Extracția datelor - furtul parolelor salvate, a istoricului de navigare și a acreditivelor de autentificare din browsere populare precum Chrome, Firefox, Brave, Edge și Arc.
🔹 Persistența sistemului - menținerea accesului pe termen lung prin procese de fundal stealth și fișiere de sistem deghizate.
O componentă cheie vizează în mod special Telegram, furând baze de date de chat criptate și chei de decriptare, oferind atacatorilor acces la conversații private offline.
Construit pentru a supraviețui: Tehnici de evaziune și reinstalare
NimDoor utilizează o gamă de mecanisme avansate de persistență:
🔹 Se reinstalează automat dacă utilizatorii încearcă să o termine sau să o ștergă
🔹 Creează fișiere și foldere ascunse care par a fi componente legitime ale sistemului macOS
🔹 Se conectează la serverul atacatorului la fiecare 30 de secunde pentru instrucțiuni, deghizată ca trafic normal de internet
🔹 Întârzie execuția timp de 10 minute pentru a evita detectarea timpurie de către software-ul de securitate
Dificil de eliminat fără instrumente profesionale
Din cauza acestor tehnici, NimDoor este extrem de greu de eliminat cu instrumente standard. Software-ul de securitate specializat sau intervenția profesională sunt adesea necesare pentru a curăța complet sistemele infectate.
Concluzie: Atacurile cibernetice moderne arată acum ca invitații de calendar
Atacurile precum NimDoor demonstrează cât de ingenios grupurile nord-coreene imită fluxurile de lucru zilnice pentru a pătrunde chiar și în ținte prudente. Linkurile false de Zoom și actualizările care par inofensive pot duce la compromiterea totală a sistemului.
Utilizatorii nu ar trebui niciodată să descarce actualizări din surse neoficiale, întotdeauna să verifice numele domeniilor și să rămână vigilenți împotriva prompturilor sau invitațiilor neașteptate de software.
#CyberSecurity , #NorthKoreaHackers , #Web3Security , #CryptoNews , #Hack
Rămâneți cu un pas înainte - urmăriți profilul nostru și rămâneți informat despre tot ce este important în lumea criptomonedelor!
Notificare:
,,Informațiile și opiniile prezentate în acest articol sunt destinate exclusiv scopurilor educaționale și nu ar trebui considerate ca sfaturi de investiție în nicio situație. Conținutul acestor pagini nu ar trebui să fie considerat ca sfaturi financiare, de investiție sau orice altă formă de sfat. Avertizăm că investițiile în criptomonede pot fi riscante și pot duce la pierderi financiare.”