Theo ShibDaily, các hacker từ Bắc Triều Tiên đã phát động một chiến dịch tấn công mạng mới nhắm vào các công ty tiền điện tử, triển khai một biến thể phần mềm độc hại tinh vi được gọi là NimDoor.
Phần mềm độc hại này được thiết kế để xâm nhập vào các thiết bị Apple, vượt qua các biện pháp bảo vệ bộ nhớ tích hợp để trích xuất dữ liệu nhạy cảm từ ví tiền điện tử và trình duyệt.
Cuộc tấn công bắt đầu với các chiến thuật kỹ thuật xã hội trên các nền tảng như Telegram, nơi các hacker tự giới thiệu là những liên hệ đáng tin cậy để lôi kéo các nạn nhân vào cuộc trò chuyện. Họ sau đó mời mục tiêu tham gia một cuộc họp giả mạo trên Zoom, được ngụy trang như một phiên họp của Google Meet, và gửi một tệp tin mô phỏng một bản cập nhật hợp pháp của Zoom.
Tệp tin này đóng vai trò như phương thức truyền tải cho payload độc hại. Khi được thực thi, phần mềm độc hại sẽ cài đặt NimDoor trên thiết bị của nạn nhân, tiến hành thu thập thông tin nhạy cảm, đặc biệt nhắm vào ví tiền điện tử và thông tin đăng nhập được lưu trữ trên trình duyệt.
Các nhà nghiên cứu từ công ty an ninh mạng SentinelLabs đã phát hiện ra chiến thuật mới này, nhận thấy rằng việc sử dụng ngôn ngữ lập trình Nim làm cho phần mềm độc hại này trở nên khác biệt. Các nhị phân được biên dịch bằng Nim hiếm khi được thấy nhắm đến macOS, khiến phần mềm độc hại trở nên ít nhận biết hơn đối với các công cụ bảo mật thông thường và có thể khó phân tích và phát hiện hơn.
Các nhà nghiên cứu đã quan sát thấy rằng các tác nhân đe dọa từ Bắc Triều Tiên đã từng thử nghiệm với các ngôn ngữ lập trình như Go và Rust, nhưng việc chuyển sang Nim phản ánh một lợi thế chiến lược nhờ vào khả năng đa nền tảng của nó. Điều này cho phép cùng một mã nguồn có thể chạy trên Windows, Linux và macOS mà không cần sửa đổi, tăng cường hiệu quả và phạm vi của các cuộc tấn công.
T payload độc hại bao gồm một thành phần đánh cắp thông tin đăng nhập được thiết kế để thu thập một cách kín đáo dữ liệu từ trình duyệt và hệ thống, nhóm các thông tin lại và truyền chúng cho kẻ tấn công. Hơn nữa, các nhà nghiên cứu đã phát hiện một script bên trong phần mềm độc hại nhắm đến Telegram, trích xuất cả cơ sở dữ liệu địa phương đã được mã hóa cũng như các khóa giải mã tương ứng.
Đáng chú ý, phần mềm độc hại sử dụng một cơ chế kích hoạt trì hoãn, chờ đợi mười phút trước khi thực hiện các hoạt động của nó, trong một nỗ lực rõ ràng để tránh các trình quét bảo mật.
#news #golpe #noticias #apple #iOS $BTC $BNB $PAXG
