/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F7dd29594cef31246748f638fbf319233.jpg)
Ваш компьютер могут взломать хакеры из Северной Кореи: как распознать опасность
Северокорейские хакеры заманивают сотрудников организаций, связанных с web3 и криптовалютой, устанавливать вредоносное программное обеспечение для macOS с помощью поддельных обновлений программного обеспечения Zoom.
Хакеры выдают себя за доверенный контакт жертвы, чтобы пригласить ее через Telegram запланировать встречу через популярную платформу планирования Calendly, сообщает американская компания, специализирующаяся на кибербезопасности, SentinelOne.
Жертва получает электронное письмо со ссылкой на встречу в Zoom и получает инструкцию запустить вредоносный скрипт, который выдает себя за обновление Zoom SDK. Выполнение скрипта запускает многоэтапную цепь заражения, что приводит к развертыванию вредоносных бинарных файлов, которые SentinelOne отслеживает как NimDoor.
Эксперты обнаружили, что хакеры прибегают к новым методам, таким как использование языка программирования Nim для создания бинарных файлов macOS, злоупотребление wss для инъекции процессов и удаленной связи, а также использование специальных обработчиков сигналов для сохранения данных.
По данным SentinelOne, злоумышленники использовали два бинарных файла Mach-O для запуска двух независимых цепочек выполнения. Один, написанный на C++, приводит к выполнению bash-скриптов для извлечения данных, тогда как другой, скомпилированный из исходного кода Nim, настраивает персистенцию и удаляет два скомпилированных Nim бинарных файла, а именно "GoogIe LLC" и "CoreKitAgent".
Важно Google тайно "похитила" данные пользователей Android: кто может получить $314 млн компенсацииСпециалисты утверждают, что GoogIe LLC разработан для настройки файла конфигурации и выполнения CoreKitAgent, сложного бинарного файла Nim, который "работает как управляемая событиями программа с использованием механизма kqueue macOS ".
"Достаточно уникальная способность Nim выполнять функции во время компиляции позволяет злоумышленникам смешивать сложное поведение в двоичном файле с менее очевидным потоком управления, что приводит к скомпилированным двоичным файлам, в которых код разработчика и код среды выполнения Nim переплетаются даже на уровне функций", — отметили в компании.
Также сообщалось, что в сотнях моделей принтеров Brother обнаружены уязвимости, которые могут позволить злоумышленникам удаленно получать доступ к устройствам.