Северокорейские хакеры запускают сложную кампанию, используя вредоносное ПО NimDoor для атак на компании в сфере Web3 и криптовалют. Исследования показали, что методы атак объединяют социальную инженерию с продвинутыми программированиями.
Методы атаки и социальная инженерия
Атаки начинаются с того, что хакеры выдают себя за знакомые контакты через Telegram и просят жертв организовать встречи через страницы планирования Calendly. Жертвы получают приглашение по электронной почте на скачивание, кажущееся легитимным обновлением Zoom, с поддельными ссылками на встречи. Хакеры создают домены, содержащие вредоносные файлы, представленные как обновления поддержки Zoom, используя названия, похожие на настоящие URL Zoom.
Функции и цели вредоносного ПО NimDoor
NimDoor использует два пути атаки после заражения компьютеров. Первый путь нацелен на кражу личной информации, включая пароли и историю браузера. Второй путь устанавливает долгосрочный доступ к скомпрометированным системам с помощью скрытых программ в фоновом режиме. Вредоносное ПО нацелено на популярные браузеры, такие как Google Chrome и Firefox, а также на данные Telegram, включая зашифрованные чаты.
Методы обеспечения постоянного доступа
NimDoor включает методы, которые позволяют хакерам сохранять доступ к заражённым компьютерам даже после перезагрузки или попыток удаления вредоносного ПО. При попытках остановить процесс вредоносного ПО оно перезаписывает себя в скрытых местах системы. Также создаются поддельные системные файлы, которые выглядят легитимными и получают разрешения на автоматический запуск при включении компьютера.
Кампания с использованием вредоносного ПО NimDoor демонстрирует прогрессивные методы атаки, комбинируя социальную инженерию с продвинутыми программными техниками. Это ставит под угрозу безопасность пользователей в сфере Web3 и криптовалют.
