🔹 虚假的 Zoom 会议邀请和更新链接欺骗 Web3 团队
🔹 新型 NimDoor 恶意软件利用高级规避技术入侵 macOS
🔹攻击者窃取浏览器数据、密码和 Telegram 聊天记录
NimDoor 恶意软件攻击 Web3 和加密货币公司
SentinelLabs 的安全专家发现了一场针对 Web3 初创公司和加密货币公司的复杂恶意软件攻击活动。这些攻击与朝鲜组织有关,他们结合使用社会工程学和技术隐身技术来部署 NimDoor 恶意软件。该恶意软件使用鲜为人知的 Nim 编程语言编写,旨在绕过杀毒软件检测。
准备工作:通过 Telegram 进行虚假 Zoom 会议
黑客通过 Telegram 发起联系,冒充已知联系人。他们邀请受害者通过 Calendly 安排会议,然后向他们发送看似 Zoom 软件更新的链接。这些链接会引导用户进入虚假域名,例如 support.us05web-zoom.cloud,这些域名模仿 Zoom 的合法 URL,并托管恶意安装文件。
这些文件包含数千行空格,使其看起来“非常大”。其中只隐藏了三行关键代码,用于下载并执行真正的攻击载荷。
NimDoor 恶意软件:专门针对 macOS 的间谍软件
一旦执行,NimDoor 恶意软件将分为两个主要阶段运行:
🔹 数据提取——从 Chrome、Firefox、Brave、Edge 和 Arc 等流行浏览器窃取已保存的密码、浏览历史记录和登录凭据。
🔹 系统持久性——通过隐秘的后台进程和伪装的系统文件保持长期访问。
一个关键组件专门针对 Telegram,窃取加密聊天数据库和解密密钥,使攻击者可以离线访问私人对话。
生存之道:规避和重新安装技术
NimDoor 采用了一系列先进的持久性机制:
🔹 如果用户尝试终止或删除它,则自动重新安装
🔹 创建看起来像合法 macOS 系统组件的隐藏文件和文件夹
🔹 每 30 秒连接到攻击者的服务器以获取指令,伪装成正常的互联网流量
🔹 延迟执行 10 分钟,以避免被安全软件提前发现
没有专业工具很难去除
由于这些技术,NimDoor 很难用标准工具清除。通常需要专门的安全软件或专业人员的干预才能彻底清除受感染的系统。
结论:现代网络攻击现在看起来像日历邀请
像 NimDoor 这样的攻击证明了朝鲜组织多么巧妙地模仿日常工作流程,甚至渗透到谨慎的目标。虚假的 Zoom 链接和看似无害的更新可能会导致整个系统被攻陷。
用户切勿从非官方来源下载更新,始终验证域名,并对意外的软件提示或邀请保持警惕。
#CyberSecurity , #NorthKoreaHackers , #Web3Security , #CryptoNews , #Hack
保持领先一步——关注我们的个人资料,随时了解加密货币世界中的一切重要信息!
注意:
本文中提供的信息和观点仅供教育用途,在任何情况下均不应被视为投资建议。这些页面的内容不应被视为财务、投资或任何其他形式的建议。我们提醒您,投资加密货币可能存在风险,并可能导致财务损失。
