حملات سایبری کره‌شمالی به سیستم‌عامل مک‌او‌اس و سرقت دارایی‌های دیجیتال در حوزه رمزارز با بدافزار جدید NimDoor

مهاجمان کره‌شمالی با بهره‌گیری از نوع جدیدی از بدافزار، حملات پیچیده‌ای را علیه شرکت‌های فعال در حوزه رمزارز انجام می‌دهند. این حملات که در قالب چندمرحله‌ای طراحی شده‌اند، از تکنیک‌های مهندسی اجتماعی و روش‌های پیشرفته برای نفوذ به سیستم‌عامل macOS بهره می‌برند.

بدافزار مورد اشاره، «نیمدور» (NimDoor)، با زبان برنامه‌نویسی نیم (Nim) توسعه یافته و توانایی فریب دادن آنتی‌ویروس‌های معمول را دارد. مجرمان سایبری از طریق تماس‌های جعلی در پیام‌رسان‌هایی مانند تلگرام، کارمندان شرکت‌های بلاکچین و Web3 را هدف قرار می‌دهند. قربانیان، اغلب در قالب جلسات زوم تقلبی با لینک‌های فیشینگ، فریب می‌خورند و به نصب به‌روزرسانی‌های جعلی Zoom SDK ترغیب می‌شوند.

پس از اجرا، این به‌روزرسانی چندین مرحله از بدافزار را روی دستگاه‌های مک نصب می‌کند. این مراحل شامل بیس‌اسکریپت‌های مبتنی بر اپل‌اسکریپت، اسکریپت‌های Bash برای سرقت اطلاعات و باینری‌هایی است که با زبان نیم و C++ توسعه یافته‌اند و برای ماندگاری و کنترل از راه دور طراحی شده‌اند.

باینری‌ها برنامه‌های مستقل هستند که وظایف مشخصی را در زنجیره بدافزار اجرا می‌کنند. یکی از این باینری‌ها، «کورکیت‌ایجنت» (CoreKitAgent)، از مکانیزم پایداری مبتنی بر سیگنال بهره می‌برد که در صورت تلاش کاربر برای بستن آن، فعال باقی می‌ماند و حتی پس از راه‌اندازی مجدد سیستم، همچنان در حال اجرا است.

هدف اصلی این بدافزار، سرقت اطلاعات مرتبط با کیف‌پول‌های دیجیتال و داده‌های ذخیره شده در مرورگرها است. این شامل استخراج اطلاعات از مرورگرهای Chrome، Brave، Edge و Firefox و همچنین مدیر رمز عبور اپل، کی‌چین (Keychain)، می‌شود. علاوه بر این، بخشی دیگر از بدافزار، بانک اطلاعات رمزنگاری‌شده تلگرام و فایل‌های کلید آن را هدف قرار می‌دهد که ممکن است منجر به فاش شدن عبارت‌های بازیابی و کلیدهای خصوصی کیف‌پول‌های دیجیتال شود.

هکرهای کره‌شمالی مسئول حمله هستند

شرکت Sentinel Labs اعلام کرد که حمله سایبری اخیر به پروژه‌های رمزارز، به عامل تهدید مرتبط با کره شمالی نسبت داده می‌شود. این حمله در ادامه روند حملات سایبری متمرکز بر حوزه رمزارز است که توسط دولت کره شمالی (دولت دموکراتیک خلق کره) انجام می‌شود.

گروه‌های هکری مانند لازاروس (Lazarus) مدت‌هاست که هدف قرار دادن شرکت‌های فعال در حوزه دارایی‌های دیجیتال را در دستور کار دارند تا از این طریق تحریم‌های بین‌المللی را دور زده و منابع مالی مورد نیاز برای فعالیت‌های دولتی خود را تامین کنند. در عملیات‌های قبلی، از بدافزارهایی با نوشته‌های زبان‌های Go و Rust استفاده شده بود، اما این حمله نشان‌دهنده یکی از نخستین بکارگیری‌های عمده زبان برنامه‌نویسی Nim علیه سیستم‌عامل macOS است.

همان‌طور که پیش‌تر توسط کریپتو.نیوز (crypto.news) گزارش شد، در اواخر سال ۲۰۲۳، محققان شاهد فعالیت یک کمپین دیگر مرتبط با کره شمالی بودند که با بهره‌گیری از بدافزار پایتون به نام Kandykorn، تلاش می‌کردند. این بدافزار از طریق سرورهای دیسکورد (Discord) مخفی شده و به عنوان ربات ارزیابی فرصت‌های arbitrage در حوزه رمزارزها عرضه می‌شد، اما هدف اصلی آن مهندسان بلاک‌چین استفاده‌کننده از macOS بود.

شرکت Sentinel Labs هشدار داد که با افزایش تمایل عاملان تهدید به استفاده از زبان‌های برنامه‌نویسی نادر و تکنیک‌های پیشرفته، فرضیه‌های امنیتی سنتی درباره سیستم‌عامل macOS دیگر کارایی ندارند.

در ماه‌های اخیر، چندین نوع بدافزار جدید کاربران اپل را هدف قرار داده است. از جمله SparkKitty، که با سرقت عبارت‌های کلیدی (seed phrases) از طریق گالری‌های عکس در iOS فعالیت می‌کرد، و تروجان‌هایی که اپلیکیشن‌های کیف پول در macOS را با نسخه‌های مخرب جایگزین می‌نمودند.

منبع: کریپتو.نیوز