Loqal – новинний агрегатор Loqal
Наука і технології

Новий вірус для macOS атакує пристрої через фейкове оновлення Zoom

Новий вірус для macOS атакує пристрої через фейкове оновлення Zoom
Double.news • 0 переглядів • 1 хв читання

Дослідники виявили нову й дуже просунуту кібератаку на macOS, спрямовану на стартапи у сфері Web3 і криптовалют. Група хакерів з Північної Кореї розповсюджує шкідливе ПЗ під виглядом оновлення Zoom SDK для крадіжки даних та стійкого доступу до систем. Про це пише .

Що таке NimDoor і як працює атака

Компанія назвала цей зловмисний безпековий інструмент NimDoor. Його особливості включають:

  • Комплексний ланцюг атак із використанням AppleScript, Bash, C++ та мови Nim.
  • Використання процесної ін’єкції та захищених WebSocket (wss) для спілкування з C2-серверами.
  • Механізм персистентності через обробку сигналів SIGINT/SIGTERM, що дозволяє шкіднику «самовідновлюватися» навіть після спроби видалення або перезавантаження.

Як відбувається зараження пристрою

  1. Через Telegram атакувальники видають себе за знайомих і запрошують на Zoom-дзвінок — згодом надсилають фейковий Zoom‑лінк і скрипт-оновлення.
  2. AppleScript‑скрипт завантажує другий етап — Bash‑тригери, що викрадають Keychain, дані браузера й Telegram.
  3. Nim-і C++‑бінарі встановлюються як «GoogIe LLC», «installer» і «CoreKitAgent», налаштовуючи автозапуск через LaunchAgent і стійкий зв’язок із C2.

Які дані під загрозою

Шкідливе ПЗ NimDoor націлене на викрадення конфіденційної інформації з macOS-пристроїв. Зловмисники отримують доступ до контактів і паролів, збережених у системному сховищі Keychain, а також до історії браузерів, включно з Chrome, Brave, Firefox, Edge та Arc. Окремо виділяється збір даних із месенджера Telegram — зловмисники завантажують базу повідомлень та тимчасові ключі, що може дати їм доступ до облікових записів жертв.

Як захиститися: поради

  • Не встановлюйте оновлення, отримані через підозрілі Zoom‑повідомлення або Telegram.
  • Активуйте двофакторну автентифікацію та регулярні резервні копії.
  • Використовуйте антивірус із підтримкою macOS і власну хмарну синхронізацію замість локального Keychain для чутливих даних.
0