loading...
近日,朝鲜黑客通过名为 NimDoor 的恶意软件发起了一场针对 Web3 和加密货币公司的复杂网络攻击。
据哨兵实验室研究发现,该攻击结合了社会工程学和高级编程技术,旨在渗透 Mac 系统并窃取敏感信息。
攻击者首先通过 Telegram 消息冒充受害者的已知联系人,诱导其通过 Calendly 页面安排会议。随后,受害者会收到一封带有伪造 Zoom 软件更新链接的电子邮件。
这些域名设计得与真实的 Zoom 网站极为相似,例如 support.us05web-zoom.forum 和 support.us05web-zoom.cloud,以迷惑用户下载看似合法的更新文件。
zoom_sdk_support.scpt 文件填充了 1 万行空格;请注意拼写错误“Zook”以及右上角的滚动条。来源:哨兵实验室. 这些恶意文件包含数千行空白代码,隐藏其真实意图。攻击代码仅三行,用于从远程服务器下载并运行额外的恶意模块。
研究人员指出,攻击者使用多个定制域名,表明这是一场大规模且系统化的活动。部分伪造文件中存在明显的拼写错误,如将“Zoom SDK 更新”误写为“Zook SDK 更新”,这成为追踪攻击的线索。
一旦受害者执行了虚假更新,恶意软件会在加载合法的 Zoom 重定向 URL 和 HTML 文件的同时,秘密启动主要攻击组件。这种策略成功误导用户以为他们完成了一次正常的软件更新。
NimDoor 恶意软件采用双重攻击路径:一条专注于窃取个人信息,另一条则确保对受感染系统的长期控制。
恶意软件从多款主流浏览器(包括 Google Chrome、Firefox、Microsoft Edge、Brave 和 Arc)中提取存储的密码、浏览历史记录和登录信息。同时,它还会窃取 Mac 系统内置密码管理器中的数据,以及显示用户操作记录的命令历史文件。
此外,恶意软件专门针对 Telegram 应用程序,窃取加密聊天数据库及其解密密钥,使攻击者能够离线查看用户的私人对话。
所有被盗数据会被打包并通过加密连接传输到攻击者控制的服务器。恶意软件会在受感染设备上创建隐藏文件夹,用于临时存储被盗数据,并使用伪装成合法系统文件的名称。
此次攻击使用了包括 Nim 和 C++ 在内的高级编程语言,许多传统安全工具难以检测到这些威胁。恶意软件还通过加密通信和模仿正常文件名等方法规避检测。
即使用户尝试删除或终止恶意软件,NimDoor 仍能保持对受感染系统的访问。每当用户试图关闭恶意软件时,它会自动重新安装自身。
恶意软件通过捕获终止信号并将备份写入隐藏位置来实现这一目标。任何卸载尝试都会触发重新安装过程。
该恶意软件还会创建伪装成合法文件的虚假系统文件,例如命名与 Google 服务相似的文件夹(但拼写略有不同)。这些文件获得自动启动权限,在每次计算机启动时运行。
一个轻量级监控程序每 30 秒向攻击者服务器发送一次正在运行的程序信息,并等待新指令。这种通信方式伪装成正常的网络流量,极难被察觉。
此外,恶意软件在完全激活前会有 10 分钟的延迟,以避开即时扫描可疑行为的安全软件。这种延迟让恶意软件看起来像是需要时间初始化的普通程序。
这些复杂的持久化技术使得普通用户几乎无法彻底清除恶意软件,通常需要专业工具或技术支持才能解决问题。
KEY 差异线:加密货币项目用来获得媒体报道的秘密工具
985
139
574
304
365
245
