详细内容或原文请订阅后点击阅览
通过假变焦更新
与朝鲜与朝鲜的黑客使用虚假的变焦更新来传播Macos Nimdoor恶意软件,以隐形后门为目标。朝鲜与朝鲜的威胁演员的目标是将Web3和加密货币公司瞄准Nimdoor,Nimdoor是一种罕见的MacOS后门,伪装成虚假的变焦更新。受害者被诱骗通过通过日历或电报发送的网络钓鱼链接安装恶意软件。 […]
来源:Security Affairs _恶意软件通过假变焦更新
与朝鲜与朝鲜的黑客使用虚假的变焦更新来传播Macos Nimdoor恶意软件,以隐形后门为目标。
朝鲜与朝鲜的威胁参与者的目标是将Web3和加密公司Nimdoor瞄准,Nimdoor是一种罕见的Macos后门,伪装成虚假的变焦更新。
受害者通过通过日历或电报发送的网络钓鱼链接来安装恶意软件。 Nimdoor用NIM编写,使用加密的通信,并窃取浏览器历史记录和钥匙扣凭证等数据。恶意软件可以持续在系统上,如果被杀死,可以重新感染自身,并模仿合法的苹果本工具以避免检测。
“朝鲜威胁参与者正在针对Web3和与加密相关的业务的广告系列中使用NIM编译的二进制文件和多个攻击链。”阅读Sentinelone发布的分析。
分析“对于Macos恶意软件,威胁参与者不寻常使用过程注入技术和WSS的远程通信,这是Websocket协议的TLS加密版本。”
WSS
2025年4月,使用社会工程和假缩放更新的朝鲜APT集团将Web3初创公司成为针对的。攻击者采用了Nimdoor恶意软件,这是Applescript,C ++和Nim的罕见组合,这是MacOS威胁的异常选择。与典型的广告系列不同,此变体包括加密配置,异步执行和唯一的基于信号的持久性。
是由朝鲜链接的APT组最近的Nimdoor攻击中的攻击链始于通过Telegram和Calendly的假缩放邀请。受害者收到一个名为“ zoom_sdk_support.scpt”的脚本,带有10,000行填充线和一个错字(“ Zook”),隐藏了其真实功能。该脚本从support.us05web-Zoom [。]论坛等lookalike域获得了第二阶段有效载荷,模仿了真实的缩放URL。这启动了核心恶意软件,标志着每个受害者的定制链接,标志着更广泛的针对性广告系列。
a'
安装程序
/tmp < /div>
a
目标
trojan1_arm64
注射Withdyldarm64