הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית NimDoor

תוכנה זדונית NimDoor

עד Mezo ב-תוכנה זדונית
לתרגם ל:

אנשי מקצוע בתחום אבטחת הסייבר חשפו משפחת תוכנות זדוניות חדשות וחשאיות של macOS בשם NimDoor, המהווה איום רציני בשל טכניקות ההתמדה המתקדמות שלה, מנגנוני גניבת נתונים חשאיים ויכולות התחמקות מתוחכמות. קמפיין זדוני זה מיוחס לגורמי איום המקושרים לצפון קוריאה המכוונים למגזרי Web3 ומטבעות קריפטוגרפיים.

האקרים צפון קוריאנים עוברים ל-Nim ול-macOS

גורמי איום החשודים כקשורים לצפון קוריאה ממנפים כעת את שפת התכנות Nim במאגר התוכנות הזדוניות שלהם. זה מסמן התפתחות מתמשכת בערכת הכלים שלהם, כאשר קמפיינים קודמים השתמשו בשפות כמו Go ו-Rust. השימוש החדש ב-Nim מראה כוונה לחדשנות, במיוחד ביצירת איומים חוצי פלטפורמות שקשה לזהות ולנתח.

בקמפיין זה, התוקפים רודפים ספציפית אחר Web3 וארגונים המתמקדים במטבעות קריפטוגרפיים, דבר המצביע על פעולה בעלת מוטיבציה כלכלית המעוניינת לשבש או לחדור לתשתית פיננסית דיגיטלית.

טכניקות macOS יוצאות דופן ביותר

מה שמדאיג במיוחד את NimDoor הוא הגישה הלא שגרתית שלה לזיהום ב-macOS. בעיקר, היא משתמשת ב:

  • הזרקת תהליכים, טכניקה נדירה עבור תוכנות זדוניות של macOS, המאפשרת לאיום לחטוף ולתמרן תהליכים לגיטימיים.
  • ערוצי תקשורת WSS (WebSocket Secure) עבור אינטראקציות C2 מוצפנות.
  • שיטת התמדה חדשנית הממנפת את מטפלי האותות SIGINT ו-SIGTERM, ומאפשרת לתוכנה הזדונית להתקין את עצמה מחדש לאחר סיום הפעולה או אתחול המערכת מחדש.

תכונות אלו מאפשרות לו לשמור על פרופיל נמוך ולהישאר עמיד בפני שיבושים נפוצים הנגזרים על ידי המשתמש או המערכת.

שרשרת תקיפה מונעת על ידי הנדסה חברתית

ההתקפה מתחילה באסטרטגיית הנדסה חברתית:

  • קורבנות נוצרים קשר דרך פלטפורמות כמו טלגרם ומפותים אותם לתאם פגישת זום באמצעות Calendly.
  • הם מקבלים אימייל מזויף עם סקריפט עדכון של ערכת פיתוח התוכנה של זום, לכאורה כדי להבטיח תאימות עם תוכנת שיחות הווידאו.

זה מוביל להרצת AppleScript זדוני, אשר מוריד סקריפט שלב שני משרת מרוחק תוך הפניית המשתמש לקישור זום לגיטימי. הסקריפט שלב שני מחלץ ארכיוני ZIP המכילים:

  • קבצים בינאריים ליצירת התמדה
  • סקריפטים של Bash לגניבת נתוני מערכת

תפקידו של InjectWithDyldArm64

בלב תהליך ההדבקה נמצא טוען ++C המכונה InjectWithDyldArm64, או בקיצור InjectWithDyld. רכיב זה חיוני לפריסת התוכנה הזדונית בצורה יעילה וסמויה. הוא מתחיל בפענוח שני קבצים בינאריים מוטמעים, אחד בשם 'Target' והשני 'trojan1_arm64'. לאחר הפענוח, הוא ממשיך להפעיל את תהליך Target במצב מושהה. לאחר שהתהליך מושהה, הטוען מזריק לתוכו את הקובץ הבינארי trojan1_arm64 ולאחר מכן מחודש את הביצוע. שיטה זו מאפשרת למטענים הזדוניים להימסר ולהפעיל אותם בצורה חשאית ביותר, תוך עקיפת הגנות מערכת סטנדרטיות וממזערת את הסיכוי לגילוי.

גניבת אישורים ומעקב אחר מערכות

לאחר פעילותה, הנוזקה יוצרת חיבור עם שרת פיקוד ובקרה (C2) מרוחק, מה שמאפשר לה לבצע מספר פעולות זדוניות. אלה כוללות איסוף מידע מערכת מפורט, ביצוע פקודות שרירותיות המונפקות מרחוק, ניווט בין ספריות שונות ושידור תוצאות הפעולות הללו בחזרה לתוקף.

האיום מתגבר עם מעורבותו של רכיב ה-trojan1_arm64, אשר משפר את ההתקפה על ידי אחזור שני מטענים נוספים מתשתית C2. מטענים אלה מעוצבים במיוחד כדי לאסוף מידע רגיש. המטרות העיקריות שלהם הן פרטי כניסה המאוחסנים בדפדפני אינטרנט נפוצים - Arc, Brave, Chrome, Edge ו-Firefox, כמו גם נתוני משתמשים מאפליקציית המסרים Telegram.

מנגנוני התמדה

מעבר למרכיביה העיקריים, התוכנה הזדונית פורסת גם קבצי הרצה מבוססי Nim המפעילים מודול המכונה CoreKitAgent. מודול זה ממלא תפקיד קריטי בהבטחת עמידותה של התוכנה הזדונית על ידי ניטור כל ניסיון להפסיק את פעולתה. כדי לשמור על נוכחותה, היא מתקינה מטפלי אותות מותאמים אישית עבור SIGINT ו-SIGTERM, המאפשרים לה להפעיל מחדש באופן אוטומטי אם משתמש או כלי אבטחה מנסים לכבות אותה. מנגנון מובנה זה מחזק משמעותית את עמידותה של התוכנה הזדונית.

התוקפים עושים שימוש נרחב גם ב-AppleScript, וממנפים אותו לא רק בשלב ההדבקה הראשוני אלא גם לאורך כל פעולת הנוזקה לצורך ניטור ובקרה מתמשכים. באמצעות יכולת סקריפטים זו, הנוזקה שולחת משואות תקופתיות כל 30 שניות לשרתי C2 מקודדים, שולפת פרטים על תהליכים הפועלים כעת ומבצעת פקודות חדשות שהונפקו על ידי גורם האיום המרוחק.

למה נים הופך תוכנות זדוניות למסוכנות יותר

השימוש בשפת התכנות Nim מעניק לתוקפים יתרונות בולטים. היכולת של Nim לבצע פונקציות בזמן קומפילציה מאפשרת להם:

  • הטמעת לוגיקה מורכבת שקשה לזהות
  • ערפול זרימת בקרה בתוך קבצים בינאריים
  • ערבוב של קוד מפתח וקוד ריצה, מה שמקשה משמעותית על הניתוח

זה מוביל לקבצים בינאריים קומפקטיים ומתפקדים היטב, עם נראות מופחתת למנועי זיהוי תוכנות זדוניות מסורתיים.

NimDoor הוא תזכורת חדה לכך ש-macOS כבר אינו חסין מפני איומים מתקדמים ומתמשכים. כעת, כאשר גורמים צפון קוריאנים מכוונים לפלטפורמה זו באמצעות טכניקות מתפתחות ושפות תכנות פחות מוכרות, שמירה על ערנות ומידע חשובים יותר מתמיד.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
35,519
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...