Дослідники з SentinelLabs виявили нову кібератаку, яку здійснюють пов’язані з Північною Кореєю хакери, націлену на користувачів macOS для викрадення криптовалюти та іншої конфіденційної інформації, повідомляє TechRadar.

Вони ідентифікували бекдор під назвою NimDoor, написаний на відносно рідкій мові програмування Nim, що допомагає уникати виявлення традиційними антивірусами. Після інсталяції NimDoor використовує AppleScript для beaconing та асинхронних таймерів сну, що дозволяє шкідливому ПЗ зберігати присутність на системі та обходити засоби безпеки. Варто зазначити, що термін beaconing в кібербезпеці означає техніку, за допомогою якої шкідливе програмне забезпечення періодично, часто через рівні проміжки часу, зв'язується з сервером управління та контролю (C2), щоб повідомити про свою присутність і отримати інструкції або передати дані.

Атака зазвичай починається в Telegram: жертвам надходить повідомлення від уявного довіреного контакту з запрошенням на Zoom-зустріч. При натисканні на посилання відкривається підроблена сторінка Zoom із запитом встановити "оновлення" для участі в дзвінку. Натомість завантажується шкідливий код NimDoor, який викрадає різноманітні дані:

Державні хакерські групи Північної Кореї, зокрема відомі Lazarus Group, вже раніше викрадали кошти в криптовалюті для фінансування своїх програм. З 2021 до початку 2025 року вони викрали понад $3,4 мільярда, зокрема:

Фахівці радять усім користувачам macOS бути обережними: не відкривати підозрілі посилання, навіть якщо вони надходять від знайомих, і встановлювати оновлення лише через офіційні канали, а не з браузерних спливаючих вікон.