Новий кіберзагрозу для користувачів macOS
Експерти з SentinelLabs виявили нову кібератаку, що походить від північнокорейських хакерів, націлену на користувачів macOS, з метою викрадення криптовалюти та іншої чутливої інформації, як повідомляє TechRadar.
Вони виявили бекдор, названий NimDoor, написаний на рідкісній мові програмування Nim, що дозволяє уникати виявлення традиційними антивірусними системами. Після встановлення NimDoor використовує AppleScript для зв'язку та асинхронних таймерів сну, що дозволяє шкідливому програмному забезпеченню залишатися непоміченим на системі та обходити засоби безпеки. Слід зазначити, що термін "beaconing" в кібербезпеці означає техніку, за допомогою якої шкідливе ПЗ періодично зв'язується з сервером управління для отримання інструкцій або передачі даних.
Зазвичай атака починається через Telegram: жертви отримують повідомлення від уявного довіреного контакту з запрошенням на Zoom-зустріч. При натисканні на посилання з'являється підроблена сторінка Zoom з проханням встановити "оновлення" для участі в дзвінку. Натомість завантажується шкідливий код NimDoor, який викрадає різноманітні дані:
- Історію переглядів у браузері та пошукові запити;
- Файли cookie та чати в Telegram;
- Паролі з macOS Keychain.
"Це викликає занепокоєння щодо розвитку кіберможливостей Північної Кореї, особливо з урахуванням зростання дистанційної роботи та помилкового відчуття безпеки серед користувачів Mac", — зазначили в SentinelLabs.
Державні хакерські групи Північної Кореї, включаючи відомий Lazarus Group, вже раніше крали кошти у криптовалюті для фінансування своїх програм. З 2021 до початку 2025 року вони викрали понад $3,4 мільярда, зокрема:
- Атака на біржу ByBit у лютому 2025 року: близько $1,5 млрд у токенах;
- Злом Ronin Bridge у березні 2022 року: близько $600 млн;
- Атака на Poly Network у 2021 році: близько $600 млн.
Експерти радять всім користувачам macOS бути обережними: не відкривати підозрілі посилання, навіть якщо вони надходять від знайомих, і встановлювати оновлення лише через офіційні канали, а не з браузерних спливаючих вікон.
