Logo

      Bất ngờ: Tin tặc Triều Tiên tấn công macOS bằng chiêu giả mạo Zoom để đánh cắp dữ liệu tiền điện tử

      Thế Duyệt,  

      Một chiến dịch tấn công macOS tinh vi từ Triều Tiên đang nhắm vào ngành công nghiệp tiền điện tử, sử dụng lời mời Zoom giả để xâm nhập hệ thống.

      Các nhà nghiên cứu tại SentinelLabs vừa phát hiện một chiến dịch tấn công macOS tinh vi mới từ các tin tặc Triều Tiên, nhắm vào ngành công nghiệp tiền điện tử với phương thức mời họp Zoom giả mạo. Được gọi là "NimDoor", cuộc tấn công này phức tạp hơn nhiều so với các mối đe dọa macOS thông thường, kết hợp nhiều ngôn ngữ lập trình như AppleScript, Bash, C , và Nim để lấy cắp dữ liệu và duy trì quyền truy cập vào hệ thống bị xâm nhập.

      Theo báo cáo từ SentinelLabs, các tin tặc từ Triều Tiên khai thác các tệp nhị phân được biên dịch bằng Nim và các chuỗi tấn công phức tạp để nhắm vào các doanh nghiệp liên quan đến Web3 và tiền điện tử. Đặc biệt, cuộc tấn công này sử dụng kỹ thuật tiêm quy trình và liên lạc từ xa thông qua giao thức WebSocket mã hóa TLS, điều hiếm thấy ở phần mềm độc hại trên macOS.

      Cơ chế duy trì mới tận dụng các trình xử lý tín hiệu SIGINT/SIGTERM để cài đặt lại khi phần mềm độc hại bị ngắt hoặc hệ thống khởi động lại. Các tin tặc cũng triển khai rộng rãi AppleScripts để giành quyền truy cập ban đầu và hoạt động ngầm trong chuỗi tấn công.

      Bất ngờ: Tin tặc Triều Tiên tấn công macOS bằng chiêu giả mạo Zoom để đánh cắp dữ liệu tiền điện tử- Ảnh 1.

      Khi thực thi, nó kích hoạt một loạt sự kiện phức tạp để thiết lập kết nối mã hóa với máy chủ điều khiển. Nó cũng bao gồm logic dự phòng để cài đặt lại các thành phần chính nếu hệ thống khởi động lại hoặc quá trình phần mềm độc hại bị ngắt. Một khi tất cả các tệp nhị phân và cơ chế duy trì của cuộc tấn công được thiết lập, phần mềm độc hại sử dụng Bash scripts để lấy cắp và xuất thông tin đăng nhập và dữ liệu nhạy cảm, bao gồm thông tin Keychain, dữ liệu trình duyệt và dữ liệu Telegram.

      Báo cáo của SentinelLabs cung cấp một cái nhìn sâu sắc về cách thức hoạt động của cuộc tấn công, bao gồm danh sách hash đầy đủ, đoạn mã, ảnh chụp màn hình và các sơ đồ tấn công chi tiết, cùng với phân tích sâu hơn về từng giai đoạn. Các nhà nghiên cứu cũng lưu ý rằng NimDoor phản ánh một sự chuyển dịch lớn hơn sang các ngôn ngữ phức tạp và ít quen thuộc hơn trên macOS, vượt ra ngoài các ngôn ngữ Go, Python và shell scripts mà các tin tặc Triều Tiên thường sử dụng trước đây.

      Tin cùng chuyên mục
      Xem theo ngày

      NỔI BẬT TRANG CHỦ

      Logo

      Chịu trách nhiệm quản lý nội dung: Bà Nguyễn Bích Minh
      TRỤ SỞ HÀ NỘI: Tầng 22, Tòa nhà Center Building, Hapulico Complex, Số 01, phố Nguyễn Huy Tưởng, phường Thanh Xuân, thành phố Hà Nội
      Điện thoại: 024 7309 5555.
      Email: info@genk.vn
      VPĐD TẠI TP.HCM: Tầng 4, Tòa nhà 123, số 127 Võ Văn Tần, Phường Xuân Hòa, TPHCM

      © Copyright 2010 - 2025 - Công ty Cổ phần VCCorp
      Tầng 17, 19, 20, 21 Toà nhà Center Building - Hapulico Complex, Số 01, phố Nguyễn Huy Tưởng, phường Thanh Xuân, thành phố Hà Nội
      Giấy phép thiết lập trang thông tin điện tử tổng hợp trên mạng số 460/GP-TTĐT do Sở Thông tin và Truyền thông Hà Nội cấp ngày 03/02/2016

      Chính sách bảo mật
      Công ty Cổ phần VCCorp
      Liên hệ quảng cáo

      Hotline hỗ trợ quảng cáo:

      Email: giaitrixahoi@admicro.vn
      Hỗ trợ & CSKH: Admicro
      Address: Tầng 20, Tòa nhà Center Building - Hapulico Complex, Số 01, phố Nguyễn Huy Tưởng, phường Thanh Xuân, thành phố Hà Nội

      Chat với tư vấn viên