北朝鮮のハッカーがZoomのアップデートに偽装したNimベースのマルウェアを使って暗号資産を標的にする

🔹 偽のZoomミーティング招待状と更新リンクがWeb3チームを欺く

🔹 新しいNimDoorマルウェアが高度な回避技術を用いてmacOSに侵入

🔹 攻撃者がブラウザデータ、パスワード、およびTelegramチャットを盗む

Web3及び暗号通貨企業がNimDoorマルウェアの攻撃を受けている SentinelLabsのセキュリティ専門家たちは、Web3スタートアップや暗号通貨企業をターゲットにした高度なマルウェアキャンペーンを発見しました。この攻撃は北朝鮮のグループに関連しており、ソーシャルエンジニアリングと技術的なステルスを組み合わせて、アンチウイルスの検出を回避するために、まれに使用されるNimプログラミング言語で書かれたNimDoorマルウェアを展開します。

セットアップ：Telegramを通じた偽のZoomミーティング ハッカーは、知られた連絡先を装ってTelegramを通じて接触を開始します。彼らは、被害者にCalendlyを通じて会議をスケジュールするよう招待し、その後、Zoomのソフトウェアアップデートに見えるリンクを送ります。これらのリンクは、support.us05web-zoom.cloudのような偽のドメインに誘導され、Zoomの正当なURLを模倣し、悪意のあるインストールファイルをホストしています。 これらのファイルには何千行もの空白が含まれており、見た目は「正当に大きい」ものになっています。その中に隠されているのは、実際の攻撃ペイロードをダウンロードして実行するための3行の重要なコードだけです。

NimDoorマルウェア：macOSを特に標的としたスパイウェア 実行されると、NimDoorマルウェアは主に2つのフェーズで動作します: 🔹 データ抽出 – Chrome、Firefox、Brave、Edge、Arcなどの人気ブラウザから保存されたパスワード、閲覧履歴、ログイン認証情報を盗む。

🔹 システムの持続性 – ステルスバックグラウンドプロセスと偽装されたシステムファイルを通じて長期的なアクセスを維持する。 特定のコンポーネントはTelegramを標的にし、暗号化されたチャットデータベースと復号キーを盗み、攻撃者にオフラインでプライベートな会話へのアクセスを与えます。

生き残るために構築された：回避と再インストールの技術 NimDoorは、さまざまな高度な永続性メカニズムを採用しています。 🔹 ユーザーがそれを終了または削除しようとすると、自動的に再インストールされます

🔹 正当なmacOSシステムコンポーネントのように見える隠しファイルとフォルダーを作成します

🔹 攻撃者のサーバーに30秒ごとに接続して指示を受け取り、通常のインターネットトラフィックとして偽装されます。

🔹 セキュリティソフトウェアによる早期検出を避けるために、実行を10分遅延させます

専門的なツールなしでは取り除くのが難しい これらの技術のために、NimDoorは標準的なツールでは非常に除去が困難です。感染したシステムを完全にクリーンにするには、専門のセキュリティソフトウェアや専門家の介入が必要なことが多いです。

結論：現代のサイバー攻撃は今やカレンダーの招待状のように見える NimDoorのような攻撃は、北朝鮮のグループが慎重なターゲットに侵入するために日常のワークフローをどれほど巧妙に模倣しているかを証明しています。偽のZoomリンクや無害に見えるアップデートは、システム全体の完全な侵害につながる可能性があります。 ユーザーは決して非公式なソースからアップデートをダウンロードすべきではなく、常にドメイン名を確認し、予期しないソフトウェアのプロンプトや招待に対して警戒を怠らないようにすべきです。

#CyberSecurity , #北朝鮮ハッカー , #Web3Security , #暗号ニュース , #ハック

一歩先を行く – 私たちのプロフィールをフォローして、暗号通貨の世界で重要なすべての情報を把握しましょう！ お知らせ: ,この記事に掲載されている情報と見解は、教育的目的のためのものであり、いかなる状況においても投資アドバイスとして受け取られるべきではありません。これらのページの内容は、金融、投資、またはその他のアドバイスと見なされるべきではありません。暗号通貨への投資はリスクを伴い、財務的損失を引き起こす可能性があることに注意してください。“