Fałszywe aktualizacje Zoom wykorzystywane w kampanii hakerskiej związanej z kryptowalutami

Image by Compare Fiber, from Unsplash

Fałszywe aktualizacje Zoom wykorzystywane w kampanii hakerskiej związanej z kryptowalutami

Przeczytasz w: 2 min

Ostatnia aktualizacja: Jul 5, 2025

Grupa hakerska z Korei Północnej stoi za nowym sposobem cyberataków na firmy Web3 i kryptowaluty, wykorzystując rzadki typ złośliwego oprogramowania dla systemu macOS.

Spieszysz się? Oto szybkie fakty:

  • Północnokoreańscy hakerzy atakują firmy kryptowalutowe za pomocą zaawansowanego złośliwego oprogramowania dla macOS.
  • Złośliwe oprogramowanie korzysta z języka Nim i fałszywych aktualizacji Zoom.
  • Ofiary są kontaktowane za pośrednictwem Telegrama przy użyciu socjotechniki.

Badacze z Sentinel Labs zidentyfikowali tę rodzinę złośliwego oprogramowania jako NimDoor, ponieważ wykorzystuje ona mało znanym język programowania Nim.

Atak rozpoczyna się od sztuczki związanej z inżynierią społeczną. Napastnicy docierają do swoich celów za pośrednictwem Telegrama, udając kolegów. Następnie proszą ofiary o wykonanie „skryptu aktualizacji Zoom SDK” po przesłaniu im fałszywego linku do spotkania na Zoom. Złośliwy skrypt, który zawiera 10 000 pustych linii i jedno literówkę („Zook” zamiast „Zoom”), pobiera następnie 2 pliki wykonywalne.

Po uruchomieniu, malware pobiera i instaluje kilka szkodliwych programów, w tym jeden, który może ukraść dane logowania, dane przeglądarki i historię czatów na Telegramie. Inny skrypt w tajemnicy kopiuje pliki systemowe użytkowników, dane Keychain, a nawet historię terminala, wysyłając wszystko z powrotem na zdalny serwer.

W przeciwieństwie do większości szkodliwego oprogramowania dla systemu macOS, NimDoor korzysta z zaawansowanych metod, takich jak iniekcja procesów oraz szyfrowana komunikacja WebSocket Secure (wss). Zaawansowane funkcje czynią ten malware coraz trudniejszym do wykrycia, umożliwiając bezpieczną komunikację z serwerami poleceń.

Jedną z wyjątkowych cech jest jego mechanizm utrzymania: nawet jeśli użytkownik lub system próbują zatrzymać malware, samoczynnie się on reinstaluje, wykorzystując narzędzia obsługi sygnałów (SIGINT/SIGTERM) systemu macOS.

„Aktorzy zagrożeń nadal badają języki wieloplatformowe, które wprowadzają nowy poziom złożoności dla analityków” – napisali badacze z Sentinel Labs, Phil Stokes i Raffaele Sabato. Ostrzegają, że użycie przez atakujących języków Nim i AppleScript, wraz z fałszywymi przynętami aktualizacji, wskazuje na nowy poziom wyrafinowania.

Eksperci ds. bezpieczeństwa zalecają, że platformy Web3 i krypto powinny wzmocnić swoje środki bezpieczeństwa, jednocześnie ucząc personel o technikach inżynierii społecznej, biorąc pod uwagę, że ta kampania złośliwego oprogramowania pokazuje, jak atakujący mogą wykorzystać manipulację zaufaniem do przenikania do bezpiecznych systemów.

Spodobał Ci się ten artykuł? Oceń go!
Był okropny Nie podobał mi się Był w porządku Był całkiem dobry! Był super!

Cieszymy się, że doceniasz to, co robimy!

Cenimy Twoją opinię. Czy możemy liczyć na ocenę na Trustpilot? Zajmie Ci to tylko chwilę. Będziemy zobowiązani. Dziękujemy za wsparcie!

Oceń nas na Trustpilot
0 Na podstawie głosów 0 użytkowników
Tytuł
Komentarz
Dziękujemy za Twoją opinię