Conform ShibDaily, hackeri nord-coreeni au lansat o nouă campanie de ciberatacuri vizând companii de criptomonede, implantând o variantă sofisticată de malware cunoscută sub numele de NimDoor.
Acest malware este proiectat pentru a infiltra dispozitive Apple, ocolind protecțiile de memorie integrate pentru a extrage date sensibile din portofelele de criptomonede și browsere.
Atacul începe cu tactici de inginerie socială pe platforme precum Telegram, unde hackerii se prezintă ca contacte de încredere pentru a angaja victimele în conversație. Ei apoi invită ținta la o întâlnire falsă pe Zoom, deghizată ca o sesiune Google Meet, și trimit un fișier care imită o actualizare legitimă a Zoom-ului.
Acest fișier servește ca metodă de livrare pentru payload-ul malițios. Odată executat, malware-ul instalează NimDoor pe dispozitivul victimei, care procedează să colecteze informații sensibile, vizând în special portofele de criptomonede și acreditive stocate în browser.
Cercetătorii companiei de securitate cibernetică SentinelLabs au descoperit această nouă tactică, observând că utilizarea limbajului de programare Nim diferențiază acest malware. Binarele compilate în Nim sunt rar întâlnite vizând macOS, făcând malware-ul mai puțin recunoscut pentru instrumentele de securitate convenționale și potențial mai greu de analizat și detectat.
Cercetătorii au observat că actorii amenințării din Coreea de Nord au experimentat anterior cu limbaje de programare precum Go și Rust, dar trecerea la Nim reflectă un avantaj strategic datorită capacităților sale multiplatformă. Acest lucru permite ca aceeași bază de cod să fie executată pe Windows, Linux și macOS fără modificări, crescând eficiența și amploarea atacurilor lor.
Un payload malițios include un component de furtișag de acreditive proiectat pentru a culege discret date din browser și din sistem, grupând informațiile și transmițându-le atacatorilor. În plus, cercetătorii au identificat un script în cadrul malware-ului care vizează Telegram, extrăgând atât baza sa de date local criptată, cât și cheile de decriptare corespunzătoare.
Notabil, malware-ul utilizează un mecanism de activare întârziată, așteptând zece minute înainte de a-și executa operațiunile, într-un aparent efort de a evita scanerele de securitate.
#news #golpe #noticias #apple #iOS $BTC $BNB $PAXG
