朝鲜网络犯罪团伙正使用新型恶意软件针对加密货币公司,该恶意软件利用苹果设备发起多阶段攻击。
网络安全公司Sentinel Labs的研究人员已发出警告,该攻击活动利用社会工程学和高阶持久化技术入侵macOS系统。
这款名为"NimDoor"的恶意软件采用小众的Nim编程语言编写,能够规避传统杀毒工具检测。
据Sentinel Labs披露,攻击者首先在Telegram等通讯平台冒充可信联系人。受害者多为区块链或Web3公司员工,通过钓鱼链接被诱骗加入虚假Zoom会议,并被诱导安装伪装成Zoom SDK常规更新的恶意程序。
当更新脚本执行后,会在受害者Mac设备上分阶段植入多重恶意组件。包括基于AppleScript的信标、用于窃取凭证的Bash脚本,以及用Nim和C++编写的持久化远程控制二进制文件。
二进制文件在恶意软件链中执行特定任务。其中名为CoreKitAgent的组件采用信号级持久化机制,当用户试图关闭恶意软件时仍能保持运行,甚至系统重启后仍可激活。
加密货币是该行动的主要目标。恶意软件专门窃取浏览器存储的数字钱包凭证及应用数据。
该软件会执行脚本从Chrome、Brave、Edge、Firefox等主流浏览器及苹果钥匙串密码管理器中提取信息。另一组件针对Telegram加密数据库和密钥文件,可能泄露通过该通讯应用交换的钱包助记词和私钥。
朝鲜黑客组织所为
Sentinel Labs将此次攻击归咎于朝鲜背景的黑客组织,延续了朝鲜民主主义人民共和国针对加密货币的网攻模式。
Lazarus等黑客组织长期瞄准数字资产公司,试图绕过国际制裁为政权运作提供资金。此前攻击多使用Go和Rust语言编写的恶意软件,而本次行动标志着Nim语言首次被大规模用于macOS攻击。
据crypto.news早前报道,2023年末研究人员发现另一起朝鲜关联的攻击活动,使用名为Kandykorn的Python恶意软件。该软件通过伪装成加密货币套利机器人的Discord服务器分发,主要针对使用macOS的区块链工程师。
Sentinel Labs警告称,随着攻击者越来越多采用冷门编程语言和复杂技术,关于macOS系统的传统安全假设已不再成立。
过去数月已出现多款针对苹果用户的恶意软件,包括通过iOS相册窃取助记词的SparkKitty,以及将macOS钱包应用替换为恶意版本的特洛伊木马。