Bất ngờ: Tin tặc Triều Tiên tấn công macOS bằng chiêu giả mạo Zoom để đánh cắp dữ liệu tiền điện tử
Một chiến dịch tấn công macOS tinh vi từ Triều Tiên đang nhắm vào ngành công nghiệp tiền điện tử, sử dụng lời mời Zoom giả để xâm nhập hệ thống.
Các nhà nghiên cứu tại SentinelLabs vừa phát hiện một chiến dịch tấn công macOS tinh vi mới từ các tin tặc Triều Tiên, nhắm vào ngành công nghiệp tiền điện tử với phương thức mời họp Zoom giả mạo. Được gọi là "NimDoor", cuộc tấn công này phức tạp hơn nhiều so với các mối đe dọa macOS thông thường, kết hợp nhiều ngôn ngữ lập trình như AppleScript, Bash, C , và Nim để lấy cắp dữ liệu và duy trì quyền truy cập vào hệ thống bị xâm nhập.
Theo báo cáo từ SentinelLabs, các tin tặc từ Triều Tiên khai thác các tệp nhị phân được biên dịch bằng Nim và các chuỗi tấn công phức tạp để nhắm vào các doanh nghiệp liên quan đến Web3 và tiền điện tử. Đặc biệt, cuộc tấn công này sử dụng kỹ thuật tiêm quy trình và liên lạc từ xa thông qua giao thức WebSocket mã hóa TLS, điều hiếm thấy ở phần mềm độc hại trên macOS.
Cơ chế duy trì mới tận dụng các trình xử lý tín hiệu SIGINT/SIGTERM để cài đặt lại khi phần mềm độc hại bị ngắt hoặc hệ thống khởi động lại. Các tin tặc cũng triển khai rộng rãi AppleScripts để giành quyền truy cập ban đầu và hoạt động ngầm trong chuỗi tấn công.

Khi thực thi, nó kích hoạt một loạt sự kiện phức tạp để thiết lập kết nối mã hóa với máy chủ điều khiển. Nó cũng bao gồm logic dự phòng để cài đặt lại các thành phần chính nếu hệ thống khởi động lại hoặc quá trình phần mềm độc hại bị ngắt. Một khi tất cả các tệp nhị phân và cơ chế duy trì của cuộc tấn công được thiết lập, phần mềm độc hại sử dụng Bash scripts để lấy cắp và xuất thông tin đăng nhập và dữ liệu nhạy cảm, bao gồm thông tin Keychain, dữ liệu trình duyệt và dữ liệu Telegram.
Báo cáo của SentinelLabs cung cấp một cái nhìn sâu sắc về cách thức hoạt động của cuộc tấn công, bao gồm danh sách hash đầy đủ, đoạn mã, ảnh chụp màn hình và các sơ đồ tấn công chi tiết, cùng với phân tích sâu hơn về từng giai đoạn. Các nhà nghiên cứu cũng lưu ý rằng NimDoor phản ánh một sự chuyển dịch lớn hơn sang các ngôn ngữ phức tạp và ít quen thuộc hơn trên macOS, vượt ra ngoài các ngôn ngữ Go, Python và shell scripts mà các tin tặc Triều Tiên thường sử dụng trước đây.
NỔI BẬT TRANG CHỦ
Các nhà khoa học phát hiện ra một sinh vật mới, tồn tại giữa sự sống và không phải sự sống
Cuộc tìm kiếm và định nghĩa về "sự sống" trong vũ trụ sinh học của chúng ta chưa bao giờ ngừng nghỉ, và dường như mỗi khi chúng ta nghĩ mình đã nắm bắt được bản chất của nó, tự nhiên lại đưa ra một bất ngờ mới để thách thức mọi khuôn khổ.
Tôi mua máy ảnh Sony giá 3,5 triệu từ 2010: Chụp vẫn đẹp, nét căng từng pixel nhưng chỉ hợp với hội "chill"