تم استخدام تحديثات زوم الوهمية في حملة القرصنة الخاصة بالعملات المشفرة

تقف مجموعة قرصنة كورية شمالية وراء طريقة جديدة للهجمات الإلكترونية على شركات Web3 والعملات المشفرة، باستخدام نوع نادر من البرمجيات الخبيثة لنظام التشغيل macOS.

أكد الباحثون في معامل Sentinel أنهم قد حددوا هذه العائلة من البرامج الضارة باسم NimDoor لأنها تستخدم لغة البرمجة الغامضة Nim.

تبدأ الهجمة بخدعة هندسة اجتماعية. يصل المهاجمون إلى أهدافهم عبر تيليجرام من خلال انتحال صفة زملاء. ثم يطلبون من الضحايا تنفيذ “سكريبت تحديث SDK لـ Zoom” بعد إرسال رابط اجتماع زوم مزيف لهم. يقوم السكريبت الخبيث، الذي يحتوي على 10000 سطر فارغ وخطأ واحد في الكتابة (“Zook” بدلاً من “Zoom”)، بتنزيل ملفين تنفيذيين.

بمجرد تنشيطه، يقوم البرنامج الضار بتنزيل وتثبيت العديد من البرامج الضارة، بما في ذلك برنامج يمكنه سرقة بيانات الدخول، وبيانات المتصفح، وتاريخ الدردشة على تيليجرام. يقوم سكريبت آخر بنسخ ملفات النظام الخاصة بالمستخدمين، وبيانات مفاتيح الوصول، وحتى تاريخ الطرفية سرًا، وإرسال كل شيء إلى خادم بعيد.

على عكس معظم البرمجيات الخبيثة لنظام macOS، يستخدم NimDoor طرقًا متقدمة مثل حقن العمليات بالإضافة إلى الاتصال المشفر عبر WebSocket Secure (wss). يصبح البرنامج الخبيث أكثر صعوبة في الكشف عنه بسبب ميزاته المتقدمة، التي تمكن الاتصال الآمن مع خوادم الأوامر.

ومن بين الميزات المتميزة هي آلية الاستمرارية: حتى إذا حاول المستخدم أو النظام إيقاف البرنامج الخبيث، فإنه يعيد تثبيت نفسه باستخدام أدوات معالجة الإشارات الخاصة بنظام macOS (SIGINT/SIGTERM).

“يواصل الجناة المهددين استكشاف لغات عبر الأنظمة التي تقدم مستويات جديدة من التعقيد للمحللين”، كتب باحثو Sentinel Labs، فيل ستوكس ورافاييل ساباتو. يحذرون من أن استخدام الهاجمين لـ Nim وAppleScript، بالإضافة إلى خداع التحديثات المزيفة، يظهر مستوى جديد من الرقي.

يوصي خبراء الأمن بأن تعزز منصات Web3 والعملات الرقمية تدابير الأمن الخاصة بها في حين تعليم الطاقم حول تقنيات الهندسة الاجتماعية، نظراً لأن هذه الحملة الخبيثة توضح كيف يمكن للمهاجمين استغلال الثقة لاختراق الأنظمة الآمنة.