لورس :هک‌های کره‌ای شمالی: حمله به پروژه‌های رمزارز با ترفند جدید مک

به گزارش مجله خبری ارزهای دیجیتال لورس :

هکرهای کره‌شمالی با ترفند جدید به پروژه‌های رمزارزی حمله می‌کنند

گروه‌های هکری وابسته به کره‌شمالی از یک نرم‌افزار مخرب جدید برای حمله به دستگاه‌های اپل و سرقت دارایی‌های رمزارزی استفاده می‌کنند. بر اساس گزارش شرکت امنیتی سِنتی‌نل‌لبز (Sentinel Labs)، این حمله‌ها از طریق فریب کاربران در پیام‌رسان‌هایی مانند تلگرام انجام می‌شود.

حمله با ترفند جعلی «آپدیت زوم»

مهاجمان ابتدا خود را به‌عنوان یک فرد معتمد معرفی کرده و با ارسال لینک جعلی گوگل‌میت (Google Meet)، قربانیان را به یک جلسه آنلاین دعوت می‌کنند. سپس فایلی به نام «آپدیت زوم» ارسال می‌شود که در واقع یک بدافزار به نام «نیم‌دور (NimDoor)» است. این بدافزار پس از اجرا، اطلاعات کیف‌پول‌های رمزارزی و گذرواژه‌های مرورگرها را سرقت می‌کند.

منبع: سِنتی‌نل‌لبز

نرم‌افزار مخرب نوشته‌شده با زبان «نیم»

برخلاف باور عمومی که دستگاه‌های مک (Mac) را در برابر بدافزارها ایمن می‌دانست، این حمله نشان می‌دهد که سیستم‌عامل اپل نیز آسیب‌پذیر است. نکته جالب اینجاست که بدافزار NimDoor با زبان برنامه‌نویسی «نیم (Nim)» نوشته شده که یک زبان نسبتاً جدید و چندسکویی (Cross-platform) است. این ویژگی باعث می‌شود مهاجمان بتوانند یک کد مخرب را برای سیستم‌عامل‌های مختلف مانند ویندوز، مک و لینوکس استفاده کنند.

محققان سِنتی‌نل‌لبز می‌گویند:

«هرچند مراحل اولیه حمله شبیه الگوهای قبلی هکرهای کره‌شمالی است، اما استفاده از کدهای Nim روی مک‌بوک‌ها انتخاب غیرمعمولی است که تشخیص آن را برای نرم‌افزارهای امنیتی سخت‌تر می‌کند.»

سرقت اطلاعات حساس با تاخیر هوشمندانه

این بدافزار علاوه بر سرقت اطلاعات مرورگرها و کیف‌پول‌های رمزارزی، پایگاه‌داده محلی تلگرام و کلیدهای رمزگشایی آن را نیز هدف قرار می‌دهد. همچنین، برای فرار از سیستم‌های تشخیص نفوذ، ۱۰ دقیقه پس از نصب فعال می‌شود تا کمتر مورد توجه قرار گیرد.

گروه هکری BlueNoroff و حملات مشابه

در خرداد ۱۴۰۴، شرکت امنیتی هانترس (Huntress) گزارش داد که یک بدافزار مشابه با حمله‌های گروه هکری «بلونوروف (BlueNoroff)» مرتبط است. این گروه که وابسته به کره‌شمالی است، از یک بدافزار پیشرفته برای ضبط صفحه‌نمایش، ثبت کلیدهای فشرده‌شده (Keylogging) و سرقت اطلاعات کلیپ‌برد استفاده می‌کند.

همچنین، بدافزار «کریپتوبات (CryptoBot)» که روی افزونه‌های مرورگرها تمرکز دارد، به‌طور خاص برای سرقت رمزارزها طراحی شده است.

هشدار به کاربران: مراقب افزونه‌های جعلی باشید

این هفته نیز شرکت امنیتی اسلو میست (SlowMist) درباره یک حملۀ گسترده با ده‌ها افزونه جعلی فایرفاکس هشدار داد که هدف آن سرقت اطلاعات کیف‌پول‌های رمزارزی است.

محققان سِنتی‌نل‌لبز در پایان تاکید کردند:

«در سال‌های اخیر، دستگاه‌های مک هدف حملات پیچیده‌تری قرار گرفته‌اند، به‌ویژه از سوی هکرهای وابسته به دولت‌ها. این موضوع افسانه «مصونیت مک در برابر ویروس‌ها» را به چالش می‌کشد.»

هشدار نهایی:
کاربران رمزارزها باید از باز کردن لینک‌های ناشناس، به‌ویژه در پیام‌رسان‌ها، خودداری کنند و همیشه از منابع معتبر نرم‌افزارها را دریافت نمایند.