Укр Рус
Техно Інтернет Давно забутий вірус відродився й загрожує мільйонам комп'ютерів по всьому світу
4 липня, 13:31
2

Давно забутий вірус відродився й загрожує мільйонам комп'ютерів по всьому світу

Олександр Гайдамашко
Основні тези
  • Шкідливий софт NimDoor, пов’язаний із північнокорейськими хакерами, загрожує користувачам macOS, націлюючись на web3 та криптовалютні організації.
  • Вірус встановлюється через фальшиве оновлення Zoom, має унікальні механізми стійкості, такі як відновлення компонентів після спроб завершення процесу.
Комп'ютерний вірус NimDoor для macOS краде криптовалюту Комп'ютерний вірус NimDoor для macOS краде криптовалюту

Шкідливий софт під назвою NimDoor, який використовують хакери, ймовірно, з Північної Кореї, став серйозною загрозою для користувачів macOS. Ця кампанія націлена на осіб та організації, пов’язані з web3 та криптовалютами, використовуючи складні методи зараження та унікальні механізми стійкості. Вірус активізується навіть після спроб його видалення, що робить це ПЗ особливо небезпечним.

Нова загроза для macOS

Сучасна версія шкідливого софту NimDoor створена за допомогою мови програмування C++. За даними дослідників із компанії SentinelOne, атака починається з того, що жертву через Telegram або електронну пошту обманом змушують встановити фальшиве оновлення для Zoom, яке надсилається через Calendly та електронну пошту. Після цього на комп’ютер жертви завантажуються кілька бінарних файлів, зокрема "installer", який готує систему до подальшого зараження, створюючи потрібні директорії та конфігураційні шляхи, пише 24 Канал з посиланням на BleepingComputer.

Дивіться також Американець зламав кілька компаній, щоб потім запропонувати себе як "рятівника" 

Один із компонентів, названий хакерами "GoogIe LLC" відповідає за збір даних про систему та створення конфігураційного файлу, який забезпечує повторний запуск шкідника після входу в систему. Інший ключовий елемент, "CoreKitAgent", є основним виконавчим модулем NimDoor. Це найновіший складник у програмі. Він працює на основі механізму kqueue у macOS, використовуючи складну систему станів та подій для адаптації до умов виконання.

Унікальною особливістю цього шкідника є реакція на сигнали завершення процесу, такі як SIGINT та SIGTERM. Замість того, щоб припинити роботу, CoreKitAgent запускає процедуру перевстановлення, відновлюючи всі необхідні компоненти. Це робить вірус стійким до стандартних методів захисту, адже навіть спроба завершити процес призводить до його повторного розгортання.

Паралельно з основною діяльністю NimDoor інші скрипти, такі як "zoom_sdk_support.scpt", запускають додаткові ланцюжки зараження. Вони витягають дані з веббраузерів, крадуть інформацію з Keychain, історії команд у терміналі, а також бази даних Telegram. Усе це передається на сервери зловмисників через спеціальні канали зв’язку.

Дослідники з SentinelLABS зазначають, що NimDoor є одним із найскладніших сімейств шкідливого софту для macOS, пов’язаних із північнокорейськими хакерами. Його модульна структура та інноваційні методи, такі як сигнальна стійкість, свідчать про те, що зловмисники постійно вдосконалюють свої інструменти для атак на різні платформи.