Новая вредоносная программа для macOS нацелена на крипто- и Web3-стартапы с помощью поддельного обновления Zoom

Marcus Mendes | Среда, 2 июля, 2025, 14:07.

Avatar for Marcus Mendes
 | 2 июля 2025 г. — 12:53 PT
Authy hack | Low-key photo of MacBook keyboard

Северокорейские хакеры стоят за новой и необычно изощренной кампанией вредоносного ПО для macOS, нацеленной на криптоиндустрию с помощью поддельных приглашений на Zoom. Вот как это работает.

Разработчики из SentinelLabs назвали эту атаку «NimDoor». Она более изощренна, чем типичная угроза для macOS, и объединяет AppleScript, Bash, C++ и Nim для извлечения данных и поддержания доступа в скомпрометированных системах.

Вот краткое резюме взлома от SentinelLabs:

  • Злоумышленники из КНДР используют скомпилированные бинарные файлы Nim и несколько цепочек атак в кампании, нацеленной на компании, связанные с Web3 и криптоиндустрией.
  • Необычно для вредоносного ПО macOS, злоумышленники используют технику внедрения процессов и удаленные коммуникации через wss, зашифрованную TLS версию протокола WebSocket.
  • Новый механизм сохранения активности использует обработчики сигналов SIGINT/SIGTERM для установки персистентности при завершении работы вредоносного ПО или перезагрузке системы.
  • Злоумышленники широко используют AppleScripts как для получения первоначального доступа, так и позже в цепочке атак для функционирования в качестве легких маяков и бэкдоров.
  • Скрипты Bash используются для извлечения учетных данных Keychain, данных браузера и пользовательских данных Telegram.
  • Анализ SentinelLABS подчеркивает новые TTP и артефакты вредоносного ПО, которые связывают ранее сообщенные компоненты, расширяя наше понимание развивающегося набора инструментов злоумышленников.

Как это на самом деле работает, в двух словах

С помощью социальной инженерии жертву связывают через Telegram с человеком, выдающим себя за доверенное лицо. Его просят запланировать звонок через Calendly, а затем отправляют электронное письмо со ссылкой на поддельный Zoom и инструкциями по запуску фальшивого «обновления SDK Zoom». SentinelLabs сообщает, что файл «сильно заполнен, содержит 10 000 строк пробелов для маскировки его истинной функции».

При выполнении запускается сложная серия событий, которые устанавливают зашифрованное соединение с сервером управления и контроля. Он также включает в себя резервную логику, которая переустанавливает ключевые компоненты, если система перезагружается или процесс вредоносного ПО завершается.

Цепочка выполнения после активации механизма персистентности при входе в систему или перезагрузке. Изображение: SentinelLabs

После установки всех бинарных файлов и механизмов персистентности вредоносное ПО использует скрипты Bash для извлечения и кражи учетных данных и конфиденциальных данных. Сюда входят учетные данные Keychain, данные браузера и данные Telegram.

Полное техническое описание стоит того, чтобы с ним ознакомиться

Если вы хотите глубже погрузиться в детали работы этого взлома, в отчете SentinelLabs представлены полные списки хэшей, фрагменты кода, скриншоты и диаграммы потока атак, а также гораздо более подробное описание каждого этапа, от поддельного обновления Zoom до окончательного извлечения данных.

Исследователи также отмечают, что NimDoor отражает более широкую тенденцию к использованию более сложных и менее знакомых кроссплатформенных языков в вредоносном ПО для macOS, выходя за рамки Go, Python и скриптов оболочки, которые северокорейские злоумышленники обычно использовали в прошлом.

Пугают ли вас подобные взломы? Как вы думаете, не преувеличивают ли опасность этих взломов? Сообщите нам в комментариях.

Скидки на аксессуары на Amazon