SentinelLabs, a divisão de pesquisa e inteligência de ameaças da empresa de cibersegurança SentinelOne, investigou uma nova e sofisticada campanha de ataque chamada NimDoor, que visa dispositivos macOS por parte de agentes maliciosos da RPDC.
Este plano complexo envolve o uso da linguagem de programação Nim para introduzir várias cadeias de ataque em dispositivos usados em pequenas empresas Web3, que é uma tendência recente.
O investigador auto-intitulado ZachXBT também descobriu uma série de pagamentos feitos a funcionários de TI sul-coreanos, que podem ser parte deste grupo de hackers talentosos.
Como foi realizada a ataque?
O relatório detalhado da SentinelLabs descreve um método novo e obscuro para comprometer dispositivos Mac.
Comece de uma forma familiar: finja ser um contato confiável para agendar uma reunião através do Calendly, em seguida, o alvo receberá um e-mail para atualizar o aplicativo Zoom.
O script de atualização termina com três linhas de código malicioso que têm a função de recuperar e executar o script da segunda fase a partir de um servidor controlado até o link da reunião Zoom legítima.
Clicar no link fará o download automático de dois arquivos binários para Mac, inicializando duas cadeias de execução independentes: o primeiro arquivo irá apagar informações do sistema geral e dados específicos da aplicação. O segundo arquivo garante que o atacante terá acesso prolongado à máquina afetada.
A cadeia de ataque continuou com a instalação de dois scripts Bash através de um Trojan. Um script é utilizado para direcionar dados de navegadores específicos: Arc, Brave, Firefox, Chrome e Edge. O outro script rouba dados criptografados do Telegram e blobs utilizados para decifrar esses dados. Em seguida, os dados são extraídos para um servidor controlado.
O que torna esta abordagem única e desafiadora para os analistas de segurança é o uso de múltiplos componentes de malware e várias técnicas diferentes para implantar e falsificar malware, tornando a detecção muito difícil.
Acompanhar o dinheiro
ZachXBT, um investigador de blockchain anônimo, publicou recentemente no X suas descobertas mais recentes sobre pagamentos significativos feitos a vários desenvolvedores da República Popular Democrática da Coreia (DPRK) que estão trabalhando em diversos projetos desde o início do ano.
Ele identificou oito trabalhadores que trabalham para 12 empresas diferentes.
A descoberta do senhor indica que 2,76 milhões de dólares USDC foram enviados de contas da Circle para endereços relacionados a desenvolvedores a cada mês. Esses endereços estão muito próximos de um endereço que foi listado na lista negra pela Tether em 2023, pois está relacionado ao suposto autor da trama, Sim Hyon Sop.
Zach continua a monitorizar grupos de endereços semelhantes, mas ainda não divulgou qualquer informação porque estes ainda estão ativos.
Ele alertou que uma vez que esses trabalhadores assumam a propriedade do contrato, o projeto básico terá um alto risco.
"Acredito que quando um grupo contrata muitos DPRK ITW (funcionários de TI), isso é um indicativo razoável de que a startup irá falhar. Ao contrário de outras ameaças à indústria, esses funcionários têm pouca sofisticação, portanto, são principalmente resultado da negligência do próprio grupo."
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Cuidado! Hackers da Coreia do Norte Alvo Usuários de Mac de Forma Muito Criativa
SentinelLabs, a divisão de pesquisa e inteligência de ameaças da empresa de cibersegurança SentinelOne, investigou uma nova e sofisticada campanha de ataque chamada NimDoor, que visa dispositivos macOS por parte de agentes maliciosos da RPDC. Este plano complexo envolve o uso da linguagem de programação Nim para introduzir várias cadeias de ataque em dispositivos usados em pequenas empresas Web3, que é uma tendência recente. O investigador auto-intitulado ZachXBT também descobriu uma série de pagamentos feitos a funcionários de TI sul-coreanos, que podem ser parte deste grupo de hackers talentosos. Como foi realizada a ataque? O relatório detalhado da SentinelLabs descreve um método novo e obscuro para comprometer dispositivos Mac. Comece de uma forma familiar: finja ser um contato confiável para agendar uma reunião através do Calendly, em seguida, o alvo receberá um e-mail para atualizar o aplicativo Zoom. O script de atualização termina com três linhas de código malicioso que têm a função de recuperar e executar o script da segunda fase a partir de um servidor controlado até o link da reunião Zoom legítima. Clicar no link fará o download automático de dois arquivos binários para Mac, inicializando duas cadeias de execução independentes: o primeiro arquivo irá apagar informações do sistema geral e dados específicos da aplicação. O segundo arquivo garante que o atacante terá acesso prolongado à máquina afetada. A cadeia de ataque continuou com a instalação de dois scripts Bash através de um Trojan. Um script é utilizado para direcionar dados de navegadores específicos: Arc, Brave, Firefox, Chrome e Edge. O outro script rouba dados criptografados do Telegram e blobs utilizados para decifrar esses dados. Em seguida, os dados são extraídos para um servidor controlado. O que torna esta abordagem única e desafiadora para os analistas de segurança é o uso de múltiplos componentes de malware e várias técnicas diferentes para implantar e falsificar malware, tornando a detecção muito difícil. Acompanhar o dinheiro ZachXBT, um investigador de blockchain anônimo, publicou recentemente no X suas descobertas mais recentes sobre pagamentos significativos feitos a vários desenvolvedores da República Popular Democrática da Coreia (DPRK) que estão trabalhando em diversos projetos desde o início do ano. Ele identificou oito trabalhadores que trabalham para 12 empresas diferentes. A descoberta do senhor indica que 2,76 milhões de dólares USDC foram enviados de contas da Circle para endereços relacionados a desenvolvedores a cada mês. Esses endereços estão muito próximos de um endereço que foi listado na lista negra pela Tether em 2023, pois está relacionado ao suposto autor da trama, Sim Hyon Sop. Zach continua a monitorizar grupos de endereços semelhantes, mas ainda não divulgou qualquer informação porque estes ainda estão ativos. Ele alertou que uma vez que esses trabalhadores assumam a propriedade do contrato, o projeto básico terá um alto risco. "Acredito que quando um grupo contrata muitos DPRK ITW (funcionários de TI), isso é um indicativo razoável de que a startup irá falhar. Ao contrário de outras ameaças à indústria, esses funcionários têm pouca sofisticação, portanto, são principalmente resultado da negligência do próprio grupo."