Північнокорейські хакери атакують користувачів macOS — під виглядом оновлення Zoom поширюють вірус, який викрадає паролі, історію браузера та дані з Telegram. Про це пише 9to5Mac.
Що сталося
Дослідники виявили нову й дуже просунуту кібератаку на macOS, спрямовану на стартапи у сфері Web3 і криптовалют. Група хакерів з Північної Кореї розповсюджує шкідливе ПЗ під виглядом оновлення Zoom SDK для крадіжки даних та стійкого доступу до систем.
Чому це важливо
Компанія SentinelLabs назвала цей зловмисний інструмент NimDoor. Його особливості містять:
- Комплексний ланцюг атак із використанням AppleScript, Bash, C++ та мови Nim.
- Використання процесної ін’єкції та захищених WebSocket (wss) для спілкування з C2-серверами.
- Механізм персистентності через обробку сигналів SIGINT/SIGTERM, що дозволяє шкіднику «самовідновлюватися» навіть після спроби видалення або перезавантаження.
Як відбувається зараження пристрою
- Через Telegram атакувальники видають себе за знайомих і запрошують на Zoom-дзвінок — згодом надсилають фейковий Zoom‑лінк і скрипт-оновлення.
- AppleScript‑скрипт завантажує другий етап — Bash‑тригери, що викрадають Keychain, дані браузера й Telegram.
- Nim-і C++‑бінарі встановлюються як GoogIe LLC, installer і CoreKitAgent, налаштовуючи автозапуск через LaunchAgent і стійкий зв’язок із C2.
Які дані під загрозою
Шкідливе ПЗ NimDoor націлене на викрадення конфіденційної інформації з macOS-пристроїв. Зловмисники отримують доступ до контактів і паролів, збережених у системному сховищі Keychain, а також до історії браузерів, включно з Chrome, Brave, Firefox, Edge та Arc. Окремо виділяється збір даних із месенджера Telegram — зловмисники завантажують базу повідомлень та тимчасові ключі, що може дати їм доступ до облікових записів жертв.
Що далі
- Не встановлюйте оновлення, отримані через підозрілі Zoom‑повідомлення або Telegram.
- Активуйте двофакторну автентифікацію та регулярні резервні копії.
- Використовуйте антивірус із підтримкою macOS і власну хмарну синхронізацію замість локального Keychain для чутливих даних.