朝鲜黑客利用 NimDoor 恶意软件发起了一场针对 Web3 和加密货币公司的复杂恶意软件活动。

哨兵实验室已识别先进的攻击方法将社会工程学与复杂的编程技术相结合，以渗透 Mac 系统并窃取敏感信息。

朝鲜黑客通过虚假 Zoom 会议更新欺骗受害者

朝鲜攻击者首先通过 Telegram 消息冒充已知联系人，然后要求受害者通过 Calendly 日程安排页面安排会议。受害者会收到电子邮件，邀请其下载看似合法的 Zoom 软件更新，其中嵌入了伪造的 Zoom 会议链接。

攻击者构建包含恶意文件的域名，这些恶意文件伪装成 Zoom 支持更新文件，其域名设计得与真实的 Zoom 会议 URL 相似。这些伪造域名包含诸如 support.us05web-zoom.forum 和 support.us05web-zoom.cloud 之类的变体，与用户已知的真实 Zoom 网站域名非常相似。

这些攻击程序有数千行空白来隐藏其目的，使其看起来比简单的攻击程序更大、更自然。这些程序中隐藏的攻击代码只有三行，用于从黑客运营的服务器下载并运行其他攻击模块。

SentinelLabs 的研究人员发现，同一攻击者同时使用了多个域名，这表明这是一场大规模攻击活动，影响了众多受害者，每个受害者都使用了定制的网址。伪造的更新文件的拼写错误，例如将“Zoom SDK 更新”写成了“Zook SDK 更新”，更容易被安全研究人员检测和追踪。

一旦受害者执行了欺骗性更新，恶意软件就会加载一个合法的 Zoom 重定向 URL 和一个 HTML 文件。这会将初始感染伪装成合法感染，同时在后台秘密启动主要攻击组件。此举旨在误导受害者，使其误以为他们已成功执行了标准的软件更新流程。

NimDoor 恶意软件窃取密码和个人数据

NimDoor 恶意软件活动一旦成功感染受害计算机，就会使用两条独立的攻击路径。第一条路径专注于从热门应用程序中窃取个人信息，包括密码、浏览器数据和聊天记录。第二条路径则通过隐藏的后台程序建立对受感染系统的长期访问权限。

该恶意软件针对多种网络浏览器，包括 Google Chrome、Firefox、Microsoft Edge、Brave 和 Arc，复制存储的密码、浏览历史记录和已保存的登录信息。它还会窃取 Mac 电脑内置密码管理系统中存储的系统密码，并复制显示用户运行过哪些程序的命令历史记录文件。

一个专门的组件专门针对 Telegram 消息数据，窃取加密聊天数据库和解密密钥，使攻击者能够离线阅读私人对话。被窃取的 Telegram 信息包括加密消息文件以及解锁和阅读这些消息所需的特殊密钥。

所有被盗信息都会被打包，并通过加密连接发送到攻击者控制的服务器。恶意软件会在受感染的计算机上创建隐藏文件夹，用于在传输前临时存储复制的数据，并使用伪装成合法系统文件的名称。

此次攻击使用了包括 Nim 和 C++ 在内的高级编程语言，许多安全程序都难以检测到这些语言。该恶意软件包含一些有助于其规避安全软件检测的功能，例如通过加密的网络连接进行通信，以及使用看似合法的文件名和位置。

攻击者设计了专门针对 Mac 电脑的恶意软件，利用 Mac 的内置功能来隐藏其活动并保持对受感染系统的持续访问。

先进的持久性方法确保恶意软件能够存活

尼姆门malware即使在用户重启系统或尝试删除恶意软件后，攻击者仍能保持对受感染计算机的访问。攻击者使用了一种巧妙的方法，每当用户尝试终止或删除恶意软件时，它就会自动重新安装。

当用户尝试停止恶意软件进程或关闭计算机时，恶意软件会捕获这些终止信号，并立即将自身的备份写入受感染系统的隐藏位置。这会导致尝试删除恶意软件实际上会触发其重新安装过程。

该恶意软件会创建虚假的系统文件，其名称设计得看似合法，例如创建以 Google 服务命名的文件夹，但拼写略有不同，用户通常不会注意到。这些虚假文件会获得自动启动权限，导致恶意软件在每次计算机启动时运行。

一个关键组件充当轻量级监控程序，每 30 秒向攻击者服务器发送一次正在运行的程序的信息，并等待新的命令。这种监控是通过看似无害的连接进行的，这些连接与正常的网络流量类似。

该恶意软件在完全激活之前还会有10分钟的延迟，这有助于它避开那些会立即扫描可疑行为的安全软件的检测。这种延迟使得该恶意软件看起来像一个需要一些时间才能启动的正常程序。

这些持久化方法North Korean hackers这使得普通用户很难彻底清除恶意软件。此外，它通常需要专门的安全工具或专业人员的协助才能彻底清除受感染的系统。

KEY 差异线：加密货币项目用来获得媒体报道的秘密工具