Silahlı Zoom SDK güncellemeleri aracılığıyla Web3 ve kripto para birimi organizasyonlarını hedefleyen Nimdoor olarak adlandırılan gelişmiş bir macOS kötü amaçlı yazılım kampanyası ortaya çıktı.
Muhtemelen Stardust Chollima ile ilişkili Kuzey Kore bağlantılı tehdit aktörlerine atfedilen kötü amaçlı yazılım, en azından Nisan 2025’ten beri aktif olan macOS sistemlerine karşı saldırgan yeteneklerde önemli bir evrimi temsil ediyor.
Saldırı düzenlemesi, tehdit aktörlerinin telgraftaki güvenilir temasları taklit ettiği ayrıntılı sosyal mühendislik taktikleri ile başlar ve kurbanları Zoom toplantılarını takviye yoluyla planlamaya davet eder.
Mağdurlar daha sonra meşru “Zoom SDK güncellemeleri” olarak gizlenmiş Applescript içeren kötü niyetli e -postalar alırlar.
Kötü amaçlı yazılımların içerik oluşturucuları, algılama ve analize yardımcı olan komut dosyası yorumlarında “zoom” olarak kasıtlı bir yazım hatası da dahil olmak üzere kimlik belirteçleri bıraktı.
Polyswarm analistleri, Nimdoor’un NIM programlama dilini benzersiz kullanımını, derleme zamanı yürütme mekanizmaları yoluyla statik analizi karmaşıklaştıran nadir bir seçim olan NIM programlama dilini tanımladı.
Bu stratejik dil seçimi, geleneksel algılama metodolojilerini engelleyen analitik belirsizlik yaratarak geliştiriciyi ve çalışma zamanı kodunu aralar.
Yürütme üzerine Nimdoor, iki farklı Mach-O ikili dosyasını uygulayan çok aşamalı bir enfeksiyonu tetikler: yük çözme ve veri hırsızlığı işlemlerinden sorumlu bir C ++ ikili ve kalıcılık bileşenlerini oluşturan NIM derlenmiş bir “yükleyici”.
Kötü amaçlı yazılım, lansman mekanizmaları yoluyla sistem kalıcılığını korurken şüphe etmek için “googie LLC” ve “Cekekitagent” dahil olmak üzere kasıtlı olarak yanlış yazılmış bileşenleri dağıtır.
Gelişmiş kalıcılık ve iletişim mekanizmaları
Nimdoor, macOS kötü amaçlı yazılımdaki bu tür tekniklerin ilk belgelenmiş örneğini işaretleyerek Sigint/Sigterm sinyal işleyicilerini kullanan çığır açan bir kalıcılık mekanizması sunar.
Bu yeni yaklaşım, fesih girişimleri veya sistem yeniden başlatmaları üzerine otomatik kötü amaçlı yazılımların yeniden yüklenmesini sağlar ve operasyonel uzun ömürlülüğü önemli ölçüde artırır.
Kötü amaçlı yazılım, TLS şifrelenmiş WebSocket protokolleri aracılığıyla komut ve kontrol iletişimi oluşturur ve onaltılı kodlu Applescript bileşenleri Beacons, 30 saniyede bir basılı sunuculara iletir.
Bu iletişim, uzaktan komut dosyası yürütme özelliklerini etkinleştirirken çalışma işlemi listelerini söndürürken, tehlikeli sistemlere kalıcı bir arka kapı oluşturur.
-- Sample AppleScript structure (Note: "Zook" typo for identification)
-- Zoom SDK Update Script
-- Deploys Mach-O binaries for multi-stage infectionKötü amaçlı yazılımların veri açığa çıkma özellikleri, anahtarlık kimlik bilgileri, tarayıcı verileri birden çok platformda (Chrome, Firefox, Cesur, ARC, Edge) ve kripto para cüzdanı bilgileri ve hassas iletişim içeren telgraf veritabanları dahil olmak üzere kritik varlıkları hedefler.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi