Nordkoreanische Hacker zielen auf Krypto mit Nim-basierter Malware, die sich als Zoom-Updates tarnt.
🔹 Gefälschte Zoom-Meeting-Einladungen und Update-Links täuschen Web3-Teams
🔹 Neue NimDoor-Malware infiltriert macOS mit fortschrittlichen Umgehungstechniken
🔹 Angreifer stehlen Browserdaten, Passwörter und Telegram-Chats
Web3- und Krypto-Unternehmen unter Beschuss von NimDoor-Malware Sicherheitsexperten von SentinelLabs haben eine ausgeklügelte Malware-Kampagne aufgedeckt, die sich gegen Web3-Startups und Kryptowährungsfirmen richtet. Die Angriffe, die mit nordkoreanischen Gruppen in Verbindung gebracht werden, verwenden eine Kombination aus Social Engineering und technischer Tarnung, um die NimDoor-Malware zu verbreiten, die in der selten verwendeten Programmiersprache Nim geschrieben ist, um die Erkennung durch Antivirenprogramme zu umgehen.
Die Einrichtung: Gefälschte Zoom-Meetings über Telegram Hacker nehmen über Telegram Kontakt auf und geben sich als bekannte Kontakte aus. Sie laden die Opfer ein, Meetings über Calendly zu planen, und senden ihnen dann Links, die wie Software-Updates für Zoom aussehen. Diese Links führen zu gefälschten Domains wie support.us05web-zoom.cloud, die die legitimen URLs von Zoom nachahmen und bösartige Installationsdateien hosten. Diese Dateien enthalten Tausende von Leerzeilen, was sie “legitim groß” erscheinen lässt. Versteckt darin sind nur drei entscheidende Codezeilen, die die tatsächliche Angriffs-Payload herunterladen und ausführen.
NimDoor Malware: Spyware, das speziell macOS angreift Nach der Ausführung arbeitet die NimDoor-Malware in zwei Hauptphasen: 🔹 Datenextraktion – Stehlen von gespeicherten Passwörtern, Browserverlaufs und Anmeldedaten aus beliebten Browsern wie Chrome, Firefox, Brave, Edge und Arc.
🔹 Systempersistenz – langfristiger Zugriff durch heimliche Hintergrundprozesse und maskierte Systemdateien. Eine Schlüsselkomponente zielt speziell auf Telegram ab, stiehlt verschlüsselte Chatdatenbanken und Entschlüsselungsschlüssel, wodurch Angreifer Zugriff auf private Gespräche im Offline-Modus erhalten.
Überleben konzipiert: Techniken zur Umgehung und Neuinstallation NimDoor verwendet eine Reihe von fortschrittlichen Persistenzmechanismen: 🔹 Installiert sich automatisch neu, wenn Benutzer versuchen, es zu beenden oder zu löschen.
🔹 Erstellt versteckte Dateien und Ordner, die wie legitime macOS-Systemkomponenten aussehen
🔹 Verbindet sich alle 30 Sekunden mit dem Server des Angreifers für Anweisungen, getarnt als normaler Internetverkehr
🔹 Verzögert die Ausführung um 10 Minuten, um eine frühzeitige Erkennung durch Sicherheitssoftware zu vermeiden
Schwierig zu entfernen ohne professionelle Werkzeuge Wegen dieser Techniken ist NimDoor äußerst schwer mit Standard-Tools zu entfernen. Spezialisierte Sicherheitssoftware oder professionelle Intervention sind oft erforderlich, um infizierte Systeme vollständig zu reinigen.
Fazit: Moderne Cyberangriffe sehen jetzt aus wie Kalender-Einladungen Angriffe wie NimDoor beweisen, wie clever nordkoreanische Gruppen alltägliche Arbeitsabläufe nachahmen, um selbst vorsichtige Ziele zu durchdringen. Gefälschte Zoom-Links und harmlos aussehende Updates können zu einem vollständigen Systemkompromiss führen. Benutzer sollten niemals Updates von inoffiziellen Quellen herunterladen, immer die Domainnamen überprüfen und wachsam gegenüber unerwarteten Softwareaufforderungen oder Einladungen sein.
#CyberSecurity , #NorthKoreaHackers , #Web3Security , #CryptoNews , #Hack
Sei einen Schritt voraus – folge unserem Profil und bleibe über alles Wichtige in der Welt der Kryptowährungen informiert! Hinweis: ,Die Informationen und Ansichten, die in diesem Artikel präsentiert werden, sind ausschließlich zu Bildungszwecken gedacht und sollten in keiner Situation als Anlageberatung angesehen werden. Der Inhalt dieser Seiten sollte nicht als finanzielle, investitionstechnische oder irgendeine andere Form von Beratung betrachtet werden. Wir warnen davor, dass Investitionen in Kryptowährungen riskant sein können und zu finanziellen Verlusten führen können.“