جاكرتا - يستخدم المتسللون الكوريون الشماليون برامج Mac الضارة لمهاجمة شركات التشفير

جاكرتا - يقال إن المتسللين المنتسبين إلى كوريا الشمالية يستخدمون برامج ضارة متقدمة خصيصا ل macOS لاستهداف شركات Web3 و crypto. ينتشر هذا البرنامج الضار من خلال دعوة Zoom المزيفة ، بهدف سرقة البيانات الحساسة وتجنب اكتشاف أنظمة الأمان القياسية.

وكشف تقرير صادر عن مختبرات SentinelOne Labs أن الهجوم استخدم طريقة متعددة الطبقات، تتضمن تقنيات الهندسة الاجتماعية، وAppleScript الضارة، والملفات الثنائية المجمعة باستخدام لغة برمجة Nim - وهي لغة نادرا ما تستخدم في macOS مما يجعل من الصعب عملية الكشف.

وتطلق على الحملة السيبرانية اسم "NimDoor" وتظهر تكتيكات جديدة تستخدمها مجموعة قراصنة كورية شمالية لاختراق الأنظمة الأمنية وسرقة البيانات من الشركات العاملة في قطاع التشفير.

الطريقة المستمرة للهجوم

تبدأ الهجمات عادة بالهندسة الاجتماعية. يتنكر المهاجمون في زي الاتصال الموثوق به من خلال تطبيق Telegram ، ثم يدعون الضحية إلى جدولة مكالمة Zoom من خلال رابط Calendly.

تلقت الضحية بريدا إلكترونيا تصيد احتيالي يحتوي على ملف تحديث SDK Zoom المزيف ، في شكل AppleScript ضار يحتوي على آلاف السطر من "التثبيت" لتجنب الكشف. يقوم هذا النص بعد ذلك بتنزيل برامج ضارة إضافية من خوادم المالكين للمتسللين الذين يحاكيون نطاق Zoom الرسمي.

تم اكتشاف ملفين ثنائيين رئيسيين من قبل الباحثين - أحدهما مكتوب في C ++ والآخر في Nim - والذي تم استخدامه لإنشاء وصول دائم وسرقة البيانات.

تقنيات متقدمة للوصول إلى البيانات وسرقتها

يستخدم هذا البرامج الضارة أساليب غير شائعة في macOS مثل حقن العمليات مع حقوق وصول خاصة ، والإبلاغ المشفر عبر TLS WebSocket (wss) ، وآليات الاستمرارية القائمة على الإشارات.

سيتم إعادة تثبيت هذا البرامج الضارة إذا حاول المستخدم تثبيته أو عندما يتم إعادة تشغيل النظام. لسرقة البيانات ، يستخدم هذا البرامج الضارة مخطط Bach الذي يسخر من سجل المتصفح ، وعمليات الاعتماد من Keychain ، وبيانات Telegram.

تشمل المتصفحات المستهدفة Arc و Brave و Firefox و Chrome و Microsoft Edge. في الواقع ، يأخذ هذا البرنامج الضار قاعدة بيانات Telegram المحلية المشفرة لإمكانية الخداع دون اتصال بالإنترنت.

تقنية ليسيك للمثابرة الثابتة

للحفاظ على نظامك ، يستخدم البرامج الضارة macOS LaunchAgents بأسماء تشبه الملفات الأصلية ، مثل "GoogIe LLC" (يستبدل الحرف "L" الصغير ب "i" الكبير) ، لتبدو وكأنها ملف من Google. هناك أيضا ملف يسمى "CoreKitAgent" يراقب إشارة النظام ويعيد تثبيته بنفسه عند التوقف.

تم تجهيز البرامج الضارة بميزات مكافحة التحليل ، مثل وقفة أسوشين متزامنة مدتها 10 دقائق لتجنب الكشف داخل صندوق الرمل.

تطور أدوات الهجوم

وفقا ل SentinelOne ، فإن استخدام لغة Nim يدل على زيادة في قدرة الأدوات التي يستخدمها المتسللون. إن قدرة نيم على تشغيل الرموز أثناء تجميع رموز المطور ودمجها مع رموز وقت التشغيل تجعل التحليل الثابت صعبا.

يتيح البيكون المستند إلى AppleScript التحكم عن بعد خفيفا دون الحاجة إلى استخدام إطار استغلال ثقيل يسهل على النظام الأمني اكتشافه.

كيفية حماية نفسك من NimDoor

1. لا تقوم بتشغيل النصوص أو تحديثات البرامج المستلمة عبر رسائل البريد الإلكتروني أو الرسائل المشبوهة، حتى لو بدت وكأنها تأتي من جهات اتصال موثوقة.

2. تحقق من عنوان URL بعناية لأن المتسللين غالبا ما يستخدمون نطاقات وهمية.

3. قم بتحديث نظام macOS والتطبيق دائما إلى أحدث إصدار لسد الفجوة الأمنية.

4. استخدم تطبيقا موثوقا به لأمان نقطة النهاية يمكنه اكتشاف حقن العمليات أو AppleScript الضار أو وكالات قاذفات مشبوهة.

5. تحقق من عناصر تسجيل الدخول وعملاء الإطلاق بشكل دوري للكشف عن إدخالات غير مصرح بها.

6. استخدم كلمات مرور قوية وفريدة من نوعها ، بالإضافة إلى تنشيط مصادقة العاملين (2FA) أينما كان متاحا.