/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Fe7fcb1011307d4444dff22eb2cfc242f.jpg)
Ваш комп'ютер можуть зламати хакери з Північної Кореї: як розпізнати небезпеку
Північнокорейські хакери заманюють співробітників організацій, пов'язаних з web3 та криптовалютою, встановлювати шкідливе програмне забезпечення для macOS за допомогою підроблених оновлень програмного забезпечення Zoom.
Хакери видають себе за довірений контакт жертви, щоб запросити її через Telegram запланувати зустріч через популярну платформу планування Calendly, повідомляє американська компанія, що спеціалізується на кібербезпеці, SentinelOne.
Жертва отримує електронний лист із посиланням на зустріч у Zoom та отримує інструкцію запустити шкідливий скрипт, який видає себе за оновлення Zoom SDK. Виконання скрипта запускає багатоетапний ланцюг зараження, що призводить до розгортання шкідливих бінарних файлів, які SentinelOne відстежує як NimDoor.
Експерти виявили, що хакери вдаються до нових методів, таких як використання мови програмування Nim для створення бінарних файлів macOS, зловживання wss для ін'єкції процесів та віддаленого зв'язку, а також використання спеціальних обробників сигналів для збереження даних.
За даними SentinelOne, зловмисники використовували два бінарні файли Mach-O для запуску двох незалежних ланцюжків виконання. Один, написаний на C++, призводить до виконання bash-скриптів для вилучення даних, тоді як інший, скомпільований з вихідного коду Nim, налаштовує персистенцію та видаляє два скомпільовані Nim бінарні файли, а саме "GoogIe LLC" та "CoreKitAgent".
Важливо Google таємно "викрала" дані користувачів Android: хто може отримати $314 млн компенсаціїСпеціалісти стверджують, що GoogIe LLC розроблено для налаштування файлу конфігурації та виконання CoreKitAgent, складного бінарного файлу Nim, який "працює як подієво-керована програма з використанням механізму kqueue macOS ".
"Досить унікальна здатність Nim виконувати функції під час компіляції дозволяє зловмисникам змішувати складну поведінку в двійковому файлі з менш очевидним потоком керування, що призводить до скомпільованих двійкових файлів, в яких код розробника та код середовища виконання Nim переплітаються навіть на рівні функцій", – зазначили в компанії.
Нагадаємо, німецька компанія з кібербезпеки Ernw виявила, що багато Bluetooth-навушників, що включають Airoha Systems on a Chip (SoC), є вразливими для злому.
Також повідомлялось, що в сотнях моделей принтерів Brother виявлено вразливості, які можуть дозволити зловмисникам віддалено отримувати доступ до пристроїв.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F147e2c41-3fd7-4d9f-9857-4d05778ec630.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Fbf60ab490a567a6df9a4e63b61c91529.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F103%2Fe1cc9c71c4efce3dbcf825912a7d7f04)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F0d2d5ba5e46c5face6a2be3c24f84282.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F68fbe833d7280e2a60d864f17cef7c50.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2Fe092177d599a8b50861690e173e13b47.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F432%2F74199eeb20e3bac133917eb718748e15.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2Fe8171ad798cea7eb697a65af3123bb31.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Fc2729ac8f75bc4896dece6ec0a83ae5c.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F250%2Fa7aea2547344918e13612036ebddec75.jpg)