هکرهای کره شمالی در آخرین کمپین بدافزار با هدف شرکتهای رمزنگاری ، MACOS را هدف قرار می دهند.

مجرمان سایبری کره شمالی برای شرکت های رمزنگاری که از نوع جدیدی از نرم افزار استفاده می کنند که از دستگاه های اپل در یک حمله چند مرحله ای استفاده می کند ، استفاده می کند.

محققان در Sentinel Labs ، یک شرکت امنیت سایبری ، هشدار در مورد این کمپین صادر کردند که از تکنیک های مهندسی اجتماعی و تکنیک های پیشرفته پایداری برای به خطر انداختن سیستم های MACOS بهره مند شد.

نرم افزار مخرب “Nimdoor” SO به زبان برنامه نویسی NIM کمتر شناخته شده نوشته شده است و ممکن است از ابزارهای سنتی آنتی ویروس فرار کند.

طبق آزمایشگاه های Sentinel ، مهاجمان با تقلید از افراد قابل اعتماد در سیستم عامل های پیام رسانی مانند تلگرام ، ارتباطات را آغاز می کنند. در این حالت ، قربانیان ، مانند کارمندان شرکت های Blockchain یا Web3 ، از طریق اتصالات شکار هویت به جلسات جعلی زوم کشیده می شوند و به آنها دستور می دهند مواردی را نصب کنند که شبیه یک بروزرسانی معمول SDK هستند.

پس از اعدام ، اسکریپت بروزرسانی چندین مرحله بدافزار را در دستگاه MAC قربانی نصب کرد. این موارد شامل فانوس های مبتنی بر AppleScript ، شرط بندی Bash برای سرقت اطلاعات هویت و NIM برای ماندگاری و فرمان از راه دور و پرونده های باینری است که در C ++ تهیه شده است.

پرونده های باینری پرونده های برنامه مستقلی هستند که کارهای خاصی را در زنجیره بدافزار انجام می دهند. یک دوتایی به نام CoreKitagent از یک مکانیسم ماندگاری مبتنی بر سیگنال استفاده می کند که به کاربران امکان خاموش کردن بدافزار را می دهد و به سیستم اجازه می دهد حتی پس از شروع مجدد سیستم فعال بماند.

ارزهای رمزنگاری یک هدف اصلی این عملیات هستند. نرم افزار مخرب به دنبال اطلاعات هویت است که در مرورگر و داده های کاربردی روی کیف پول های دیجیتال پنهان شده است.

علاوه بر مرورگرهای محبوب مانند بدافزار ، Chrome ، Brave ، Edge و Firefox ، اسکریپت هایی را که برای حذف اطلاعات از مدیر رمز عبور KeyChain Apple طراحی شده است ، اجرا می کند. مؤلفه دیگر پایگاه داده رمزگذاری شده تلگرام و پرونده های کلیدی را هدف قرار می دهد ، به طور بالقوه عبارات بذر کیف پول و سوئیچ های ویژه را از طریق برنامه پیام رسانی تغییر می دهد.

دزدان دریایی رایانه کره شمالی مسئول است

آزمایشگاه های Sentinel ، مبارزات انتخاباتی توسط جمهوری دموکراتیک کره کره کره را به یک تهدید سازگار برای کره شمالی ادامه داد و الگوی حملات سایبری با محوریت رمزنگاری را حفظ کرد.

گروه های هک مانند لازاروس مدتهاست که شرکت های دارایی دیجیتال را در تلاش خود برای پرش از تحریم های بین المللی و امور مالی امور مالی هدف قرار می دهند. عملیات قبلی نرم افزارهای مخرب را در Go و Rust مشاهده کرده اند ، اما این کمپین به یکی از اولین توزیع عمده NIM در برابر اهداف MACOS اشاره دارد.

همانطور که قبلاً توسط Crypto.news گزارش شده بود ، در پایان سال 2023 ، محققان یک کمپین اتصال DPRK دیگر را مشاهده کردند که یک بدافزار مبتنی بر پایتون معروف به Kandykorn را تنظیم کرده است. این سرویس از طریق سرورهای مشاجره پنهان شده به عنوان یک قایق داوری رمزنگاری و مهندسان blockchain با استفاده از MACOS توزیع شد.

از آنجا که آزمایشگاه های Sentinel زبان های برنامه نویسی نامشخص و تکنیک های پیشرفته بازیگران تهدید را به تصویب رساندند ، فرضیات امنیتی سنتی پیرامون MACOS دیگر معتبر نیستند.

در ماه های اخیر ، چند سنگ بدافزار کاربران اپل از جمله تروجان را هدف قرار داده است ، از جمله نسخه مخرب Sparkkitty و MacOS ، که از طریق گالری های عکس در iOS احکام بذر بازی می کردند.