மல்டி-லைசென்ஸ் தள்ளுபடி மேற்கோள்
அச்சுறுத்தல் தரவுத்தளம் தீம்பொருள் நிம்டோர் தீம்பொருள்

நிம்டோர் தீம்பொருள்

தீம்பொருள் இல் Mezo இல்
இதற்கு மொழிபெயர்க்கவும்:

சைபர் பாதுகாப்பு வல்லுநர்கள், NimDoor எனப்படும் புதிய மற்றும் ரகசியமான macOS தீம்பொருள் குடும்பத்தைக் கண்டுபிடித்துள்ளனர், இது அதன் மேம்பட்ட நிலைத்தன்மை நுட்பங்கள், ரகசிய தரவு திருட்டு வழிமுறைகள் மற்றும் அதிநவீன ஏய்ப்பு திறன்கள் காரணமாக கடுமையான அச்சுறுத்தலை ஏற்படுத்துகிறது. இந்த தீங்கிழைக்கும் பிரச்சாரம் Web3 மற்றும் கிரிப்டோகரன்சி துறைகளை குறிவைக்கும் வட கொரியாவுடன் இணைந்த அச்சுறுத்தல் நடிகர்களால் கூறப்படுகிறது.

வட கொரிய ஹேக்கர்கள் நிம் மற்றும் மேகோஸுக்கு மாறுகிறார்கள்

வட கொரியாவுடன் தொடர்புடையதாக சந்தேகிக்கப்படும் அச்சுறுத்தல் நிறுவனங்கள் இப்போது தங்கள் தீம்பொருள் ஆயுதக் களஞ்சியத்தில் நிம் நிரலாக்க மொழியைப் பயன்படுத்துகின்றன. இது அவர்களின் கருவித்தொகுப்பில் தொடர்ச்சியான பரிணாம வளர்ச்சியைக் குறிக்கிறது, முந்தைய பிரச்சாரங்கள் கோ மற்றும் ரஸ்ட் போன்ற மொழிகளைப் பயன்படுத்தின. நிம்மின் புதிய பயன்பாடு, குறிப்பாகக் கண்டறிந்து பகுப்பாய்வு செய்வது கடினமாக இருக்கும் குறுக்கு-தள அச்சுறுத்தல்களை உருவாக்குவதில் புதுமைகளை உருவாக்கும் நோக்கத்தைக் காட்டுகிறது.

இந்த பிரச்சாரத்தில், தாக்குபவர்கள் குறிப்பாக Web3 மற்றும் கிரிப்டோகரன்சியை மையமாகக் கொண்ட நிறுவனங்களைப் பின்தொடர்கிறார்கள், டிஜிட்டல் நிதி உள்கட்டமைப்பை சீர்குலைப்பதில் அல்லது ஊடுருவுவதில் ஆர்வத்துடன் நிதி ரீதியாக உந்துதல் பெற்ற செயல்பாட்டை பரிந்துரைக்கின்றனர்.

மிகவும் அசாதாரணமான macOS நுட்பங்கள்

MacOS தொற்றுக்கான அதன் வழக்கத்திற்கு மாறான அணுகுமுறையே NimDoor-ஐ குறிப்பாகக் கவர்ந்திழுக்கிறது. குறிப்பாக, இது பயன்படுத்துகிறது:

  • செயல்முறை ஊசி, macOS தீம்பொருளுக்கான ஒரு அரிய நுட்பம், அச்சுறுத்தல் முறையான செயல்முறைகளை கடத்தி கையாள அனுமதிக்கிறது.
  • மறைகுறியாக்கப்பட்ட C2 தொடர்புகளுக்கான WSS (WebSocket Secure) தொடர்பு சேனல்கள்.
  • SIGINT மற்றும் SIGTERM சிக்னல் கையாளுபவர்களைப் பயன்படுத்தும் ஒரு புதுமையான நிலைத்தன்மை முறை, தீம்பொருள் நிறுத்தப்படும்போது அல்லது கணினி மறுதொடக்கம் செய்யப்படும்போது தன்னை மீண்டும் நிறுவ அனுமதிக்கிறது.

இந்த அம்சங்கள், சாதாரண பயனர் அல்லது கணினியால் தொடங்கப்படும் இடையூறுகளுக்கு எதிராக குறைந்த சுயவிவரத்தை பராமரிக்கவும், மீள்தன்மையுடன் இருக்கவும் உதவுகின்றன.

சமூக பொறியியல்-எரிபொருள் தாக்குதல் சங்கிலி

இந்தத் தாக்குதல் ஒரு சமூக பொறியியல் உத்தியுடன் தொடங்குகிறது:

  • பாதிக்கப்பட்டவர்கள் டெலிகிராம் போன்ற தளங்கள் மூலம் தொடர்பு கொள்ளப்பட்டு, கேலன்ட்லியைப் பயன்படுத்தி ஜூம் சந்திப்பை திட்டமிடுமாறு ஈர்க்கப்படுகிறார்கள்.
  • வீடியோ கான்பரன்சிங் மென்பொருளுடன் இணக்கத்தன்மையை உறுதி செய்வதற்காக, Zoom SDK புதுப்பிப்பு ஸ்கிரிப்ட் கொண்ட ஒரு போலி மின்னஞ்சலை அவர்கள் பெறுகிறார்கள்.

இது ஒரு தீங்கிழைக்கும் ஆப்பிள்ஸ்கிரிப்டை செயல்படுத்த வழிவகுக்கிறது, இது ஒரு தொலைநிலை சேவையகத்திலிருந்து இரண்டாம் நிலை ஸ்கிரிப்டைப் பதிவிறக்குகிறது, அதே நேரத்தில் பயனரை ஒரு முறையான ஜூம் இணைப்பிற்கு திருப்பி விடுகிறது. இரண்டாம் நிலை ஸ்கிரிப்ட் ZIP காப்பகங்களைப் பிரித்தெடுக்கிறது, இதில் பின்வருவன அடங்கும்:

  • நிலைத்தன்மையை நிறுவுவதற்கான பைனரிகள்
  • கணினித் தரவைத் திருடுவதற்கான பாஷ் ஸ்கிரிப்ட்கள்

InjectWithDyldArm64 இன் பங்கு

தொற்று செயல்முறையின் மையத்தில் InjectWithDyldArm64 அல்லது வெறுமனே InjectWithDyld எனப்படும் C++ ஏற்றி உள்ளது. தீம்பொருளை திறம்பட மற்றும் ரகசியமாகப் பயன்படுத்துவதற்கு இந்தக் கூறு மிகவும் முக்கியமானது. இது இரண்டு உட்பொதிக்கப்பட்ட பைனரிகளை மறைகுறியாக்குவதன் மூலம் தொடங்குகிறது, ஒன்று 'Target' மற்றும் மற்றொன்று 'trojan1_arm64'. மறைகுறியாக்கத்திற்குப் பிறகு, அது Target செயல்முறையை இடைநிறுத்தப்பட்ட நிலையில் தொடங்குகிறது. செயல்முறை இடைநிறுத்தப்பட்டவுடன், ஏற்றி trojan1_arm64 பைனரியை அதில் செலுத்தி பின்னர் மீண்டும் செயல்படுத்துகிறது. இந்த முறை தீங்கிழைக்கும் பேலோடுகளை மிகவும் திருட்டுத்தனமான முறையில் வழங்கவும் செயல்படுத்தவும் அனுமதிக்கிறது, நிலையான கணினி பாதுகாப்புகளைத் தவிர்த்து, கண்டறிதல் வாய்ப்பைக் குறைக்கிறது.

நற்சான்றிதழ் திருட்டு மற்றும் அமைப்பு கண்காணிப்பு

செயல்பட்டவுடன், தீம்பொருள் தொலைதூர கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் இணைப்பை ஏற்படுத்துகிறது, இது பல தீங்கிழைக்கும் செயல்பாடுகளைச் செய்ய அனுமதிக்கிறது. இதில் விரிவான கணினித் தகவல்களைச் சேகரித்தல், தொலைதூரத்தில் வழங்கப்படும் தன்னிச்சையான கட்டளைகளை செயல்படுத்துதல், வெவ்வேறு கோப்பகங்கள் வழியாகச் செல்வது மற்றும் இந்த செயல்களின் முடிவுகளைத் தாக்குபவருக்குத் திருப்பி அனுப்புதல் ஆகியவை அடங்கும்.

trojan1_arm64 கூறு ஈடுபடுவதால் அச்சுறுத்தல் அதிகரிக்கிறது, இது C2 உள்கட்டமைப்பிலிருந்து மேலும் இரண்டு பேலோடுகளை மீட்டெடுப்பதன் மூலம் தாக்குதலை மேம்படுத்துகிறது. இந்த பேலோடுகள் குறிப்பாக முக்கியமான தகவல்களை சேகரிக்க வடிவமைக்கப்பட்டுள்ளன. அவற்றின் முதன்மை இலக்குகள் பரவலாகப் பயன்படுத்தப்படும் வலை உலாவிகளில் சேமிக்கப்படும் உள்நுழைவு சான்றுகள் - Arc, Brave, Chrome, Edge மற்றும் Firefox, அத்துடன் Telegram செய்தியிடல் பயன்பாட்டிலிருந்து பயனர் தரவு.

நிலைத்தன்மை வழிமுறைகள்

அதன் முதன்மை கூறுகளுக்கு அப்பால், தீம்பொருள் CoreKitAgent எனப்படும் ஒரு தொகுதியை செயல்படுத்தும் Nim-அடிப்படையிலான இயங்குதளங்களையும் பயன்படுத்துகிறது. இந்த தொகுதி, தீம்பொருளின் செயல்பாட்டை நிறுத்துவதற்கான எந்தவொரு முயற்சியையும் கண்காணிப்பதன் மூலம் அதன் மீள்தன்மையை உறுதி செய்வதில் முக்கிய பங்கு வகிக்கிறது. அதன் இருப்பைத் தக்கவைக்க, இது SIGINT மற்றும் SIGTERM க்கான தனிப்பயன் சமிக்ஞை கையாளுபவர்களை நிறுவுகிறது, இது ஒரு பயனர் அல்லது பாதுகாப்பு கருவி அதை மூட முயற்சித்தால் தானாகவே மீண்டும் தொடங்க அனுமதிக்கிறது. இந்த உள்ளமைக்கப்பட்ட வழிமுறை தீம்பொருளின் நிலைத்தன்மையை கணிசமாக பலப்படுத்துகிறது.

தாக்குபவர்கள் ஆப்பிள்ஸ்கிரிப்டை விரிவாகப் பயன்படுத்துகின்றனர், ஆரம்ப தொற்று கட்டத்தில் மட்டுமல்லாமல், தொடர்ச்சியான கண்காணிப்பு மற்றும் கட்டுப்பாட்டிற்காக தீம்பொருளின் செயல்பாடு முழுவதும் இதைப் பயன்படுத்துகின்றனர். இந்த ஸ்கிரிப்டிங் திறனின் மூலம், தீம்பொருள் ஒவ்வொரு 30 வினாடிகளுக்கும் ஹார்ட்-கோட் செய்யப்பட்ட C2 சேவையகங்களுக்கு அவ்வப்போது பீக்கான்களை அனுப்புகிறது, தற்போது இயங்கும் செயல்முறைகள் பற்றிய விவரங்களை வெளியேற்றுகிறது மற்றும் தொலைதூர அச்சுறுத்தல் நடிகரால் வழங்கப்படும் புதிய கட்டளைகளைச் செயல்படுத்துகிறது.

நிம் ஏன் தீம்பொருளை மிகவும் ஆபத்தானதாக ஆக்குகிறது

Nim நிரலாக்க மொழியின் பயன்பாடு தாக்குபவர்களுக்கு குறிப்பிடத்தக்க நன்மைகளை அளிக்கிறது. தொகுக்கும் நேரத்தில் செயல்பாடுகளை இயக்கும் Nim இன் திறன் அவர்களை அனுமதிக்கிறது:

  • கண்டறிவதற்குக் கடினமான சிக்கலான தர்க்கத்தை உட்பொதிக்கவும்.
  • பைனரிகளுக்குள் கட்டுப்பாட்டு ஓட்டத்தை தெளிவற்றதாக்குங்கள்
  • டெவலப்பர் மற்றும் இயக்க நேரக் குறியீட்டை ஒன்றிணைத்து, பகுப்பாய்வை கணிசமாக கடினமாக்குகிறது.

இது பாரம்பரிய தீம்பொருள் கண்டறிதல் இயந்திரங்களுக்குக் குறைவான தெரிவுநிலையுடன் கூடிய சிறிய, உயர்-செயல்பாட்டு பைனரிகளுக்கு வழிவகுக்கிறது.

தொடர்ச்சியான அச்சுறுத்தல்களுக்கு மேகோஸ் இனி நோய் எதிர்ப்பு சக்தி கொண்டதல்ல என்பதை நிம்டூர் தெளிவாக நினைவூட்டுகிறது. வட கொரிய நடிகர்கள் இப்போது வளர்ந்து வரும் நுட்பங்களையும் குறைவாக அறியப்பட்ட நிரலாக்க மொழிகளையும் பயன்படுத்தி இந்த தளத்தை குறிவைத்து வருவதால், தகவலறிந்தவர்களாகவும் விழிப்புடன் இருப்பதிலும் எப்போதும் இல்லாத அளவுக்கு இது மிகவும் முக்கியமானது.

டிரெண்டிங்

Dersinstion.com

முரட்டு வலைத்தளங்கள், ஆட்வேர், உலாவி கடத்தல்காரர்கள்
ஒரு கவனக்குறைவான கிளிக் கூட பாதுகாப்பு அச்சுறுத்தல்களுக்கு வெள்ள வாயில்களைத் திறக்கும். மோசடி செய்பவர்கள் பயனர்களை ஏமாற்றுவதற்கான தந்திரோபாயங்களைத் தொடர்ந்து செம்மைப்படுத்தி வருகின்றனர், அப்பாவி...

Ijony.click

முரட்டு வலைத்தளங்கள், ஆட்வேர்
Infosec ஆராய்ச்சியாளர்கள் Ijony.click பக்கம் அதன் ஆபரேட்டர்களால் ஆன்லைன் தந்திரோபாயங்களை இயக்குவதற்கான தளமாகப் பயன்படுத்தப்படும் ஒரு முரட்டு வலைத்தளம் என்பதை உறுதிப்படுத்தியுள்ளனர். உண்மையில்,...

IlexAquifolium

சாத்தியமான தேவையற்ற திட்டங்கள்
தொழில்நுட்ப உலகில், வசதிக்காக பெரும்பாலும் செலவாகிறது. உலாவி நீட்டிப்புகள் எங்கள் ஆன்லைன் அனுபவங்களை மேம்படுத்தும் அதே வேளையில், சில பாதுகாப்பற்ற நோக்கத்தை அவற்றின் அப்பாவி முகப்பின் கீழ்...

அதிகம் பார்க்கப்பட்டது

தீம்பொருள்

ஃபிஷிங், ஸ்பேம்
35,519
'Apple Pay Suspended' என்ற மோசடி செய்தியானது Apple Payயின் பயனர்களை குறிவைக்கும் ஒரு வகையான ஃபிஷிங் தந்திரமாகும். பயனரின் Apple Pay வாலட் இடைநிறுத்தப்பட்டுள்ளதாகவும், அதை மீட்டெடுக்க இணைப்பைக் கிளிக் செய்யும்படி அவர்களை வலியுறுத்துவதாகவும் அந்தச் செய்தி கூறுகிறது. இருப்பினும், இணைப்பைக் கிளிக் செய்வதன் மூலம், பயனரின் தனிப்பட்ட மற்றும் நிதித் தகவல்களைத் திருட வடிவமைக்கப்பட்ட போலி...
'கீக் ஸ்குவாட்' மின்னஞ்சல் மோசடி ஸ்கிரீன்ஷாட்

'கீக் ஸ்குவாட்' மின்னஞ்சல் மோசடி

ஃபிஷிங், ஸ்பேம்
32,024
பிரபல தொழில்நுட்ப ஆதரவு வழங்குநரான Geek Squad, Geek Squad Email Scam எனப்படும் ஃபிஷிங் மோசடிக்கு பலியாகியுள்ளது. இந்த தொழில்நுட்ப ஆதரவு மோசடியானது, கிரெடிட் கார்டு விவரங்கள், மின்னஞ்சல் முகவரிகள்...

Fuq.com

முரட்டு ஸ்பைவேர் எதிர்ப்பு திட்டம், மேக் மால்வேர்
23,074
Fuq.com என்பது ஒரு ஆட்வேர் வகை நிரலாகும், இது ஆபாச உள்ளடக்கத்துடன் கூடிய இணையதளங்களை விளம்பரப்படுத்துகிறது. இந்த சாத்தியமுள்ள தேவையற்ற திட்டத்தின் (PUP) விளம்பரப் பிரச்சாரங்கள் மிகவும் தீவிரமானவை....
ஏற்றுகிறது...