Penggodam Korea Utara menggunakan strain perisian hasad baru yang menyasarkan peranti Apple sebagai sebahagian daripada kempen serangan siber yang menyasarkan syarikat mata wang kripto.
Menurut laporan dari firma keselamatan siber Sentinel Labs pada hari Rabu, penyerang menyamar sebagai seseorang yang dipercayai di aplikasi mesej seperti Telegram, kemudian meminta mesyuarat Zoom palsu melalui pautan Google Meet sebelum menghantar fail kemas kini Zoom kepada mangsa.
Nimdoor menyasarkan komputer Mac
Setelah "kemas kini" dilaksanakan, muatan memasang perisian hasad yang dipanggil "NimDoor" pada komputer Mac, yang kemudian menyasarkan dompet kripto dan kata laluan pelayar.
Sebelum ini, dipercayai secara meluas bahawa komputer Mac kurang terdedah kepada penggodaman dan eksploitasi, tetapi ini tidak lagi berlaku.
Walaupun vektor serangan ini agak biasa, perisian hasad ini ditulis dalam bahasa pengaturcaraan yang luar biasa dipanggil Nim, menjadikannya lebih sukar untuk dikesan oleh perisian keselamatan.
“Walaupun peringkat awal serangan mengikuti corak DPRK yang biasa menggunakan kejuruteraan sosial, skrip umpan dan kemas kini palsu, penggunaan binari yang disusun Nim pada macOS ialah pilihan yang lebih luar biasa,” kata para penyelidik.
Nim ialah bahasa pengaturcaraan yang agak baru dan jarang digunakan yang semakin popular di kalangan penjenayah siber kerana ia boleh dijalankan pada Windows, Mac, dan Linux tanpa perubahan, bermakna penggodam boleh menulis satu perisian hasad yang berfungsi di mana-mana.
Nim juga menyusun kod dengan cepat, mencipta fail boleh laku yang berdiri sendiri, dan sangat sukar untuk dikesan.
Berkaitan: Pengasas kripto melaporkan serangan penggodaman Zoom palsu Korea Utara
Pelaku ancaman yang bersekutu dengan Korea Utara sebelum ini telah bereksperimen dengan bahasa pengaturcaraan Go dan Rust, tetapi Nim menawarkan kelebihan yang ketara, kata penyelidik Sentinel.
Muatan infostealer
Muatan mengandungi pencuri kelayakan "yang direka untuk mengekstrak maklumat pelayar dan sistem secara senyap, membungkusnya, dan mengeluarkannya," menurut mereka.
Terdapat juga skrip yang mencuri pangkalan data tempatan Telegram yang disulitkan dan kunci penyahsulitan.
Ia juga menggunakan masa yang bijak dengan menunggu sepuluh minit sebelum diaktifkan untuk mengelakkan dikesan oleh pengimbas keselamatan.
Mac juga mendapat virus
Penyedia penyelesaian keselamatan siber Huntress melaporkan pada bulan Jun bahawa pencerobohan perisian hasad yang serupa dikaitkan dengan kumpulan penggodam yang ditaja oleh negara Korea Utara "BlueNoroff."
Penyelidik menyatakan bahawa perisian hasad itu menarik kerana ia dapat memintas perlindungan memori Apple untuk menyuntik muatan.
Perisian hasad ini digunakan untuk keylogging, rakaman skrin, pengambilan papan klip dan juga mempunyai "infostealer berfungsi penuh" yang dipanggil CryptoBot, yang memberi tumpuan kepada kecurian mata wang kripto. Infostealer ini menembusi sambungan pelayar, mencari plugin dompet.
Minggu ini, firma keselamatan blockchain SlowMist memberi amaran kepada pengguna tentang "kempen jahat besar-besaran" yang melibatkan berpuluh-puluh sambungan Firefox palsu yang direka untuk mencuri kelayakan dompet mata wang kripto.
“Sejak beberapa tahun kebelakangan ini, kami telah melihat macOS menjadi sasaran yang lebih besar untuk pelaku ancaman, terutamanya berkaitan dengan penyerang yang sangat canggih dan ditaja oleh negara,” penyelidik Sentinel Labs menyimpulkan, membongkar mitos bahawa Mac tidak mendapat virus.
Majalah: Bitcoin 'bull pennant' menyasarkan $165K, Pomp membeli $386M BTC: Hodler’s Digest