Kuzey Koreli hackerlar, Apple cihazlarını hedef alan yeni kötü amaçlı yazılım türlerini, kripto şirketlerini hedef alan bir siber saldırı kampanyasının parçası olarak kullanıyor.
Siber güvenlik firması Sentinel Labs'in çarşamba günü yayınladığı bir rapora göre, saldırganlar Telegram gibi mesajlaşma uygulamalarında güvenilir biri gibi davranarak, ardından Google Meet bağlantısı üzerinden sahte bir Zoom toplantısı talep ediyor ve kurbana Zoom güncellemesi gibi görünen bir dosya gönderiyor.
Nimdoor Mac bilgisayarları hedef alıyor
“Güncelleme” çalıştırıldığında, yüklenen dosya Mac bilgisayarlara “NimDoor” adlı kötü amaçlı yazılımı kuruyor ve bu yazılım daha sonra kripto cüzdanlarını ve tarayıcı şifrelerini hedef alıyor.
Daha önce Mac bilgisayarların siber saldırılara ve açık istismarlarına karşı daha az savunmasız olduğu yaygın şekilde düşünülüyordu, ancak artık durum böyle değil.
Saldırı vektörü nispeten yaygın olsa da, kötü amaçlı yazılımın Nim adlı alışılmadık bir programlama diliyle yazılmış olması, güvenlik yazılımlarının bunu tespit etmesini zorlaştırıyor.
Araştırmacılar şöyle açıkladı:
“Ani saldırının ilk aşamaları sosyal mühendislik, yemleme komut dosyaları ve sahte güncellemeler kullanarak tanıdık bir Kuzey Kore modeli izliyor olsa da, macOS'te Nim ile derlenmiş ikili dosyaların kullanılması daha alışılmadık bir tercih.”
Nim, Windows, Mac ve Linux’ta değişiklik yapılmadan çalışabilmesi nedeniyle siber suçlular arasında popülerleşen, nispeten yeni ve yaygın olmayan bir programlama dili. Bu, hacker'ların her yerde çalışan tek bir kötü amaçlı yazılım yazabilmesi anlamına geliyor.
Nim ayrıca hızlıca kod haline derlenebiliyor, bağımsız çalıştırılabilir dosyalar oluşturuyor ve tespit edilmesi oldukça zor.
Sentinel araştırmacıları, Kuzey Kore bağlantılı tehdit aktörlerinin daha önce Go ve Rust programlama dilleriyle de deneyler yaptığını ancak Nim'in önemli avantajlar sunduğunu belirtti.
Bilgi çalan dosya
Yüklenen dosya, “tarayıcı ve sistem düzeyindeki bilgileri sessizce çıkarmak, paketlemek ve dışarı aktarmak” üzere tasarlanmış bir kimlik bilgisi çalan yazılım içeriyor.
Ayrıca, Telegram’ın şifreli yerel veritabanını ve şifre çözme anahtarlarını çalan bir komut dosyası da bulunuyor.
Bu yazılım aynı zamanda güvenlik tarayıcıları tarafından tespit edilmemek için etkinleşmeden önce on dakika bekleyerek akıllı zamanlama kullanıyor.
Mac'ler de virüs kapar
Siber güvenlik çözümleri sağlayıcısı Huntress, haziran ayında benzer kötü amaçlı yazılım ihlallerinin Kuzey Kore devlet destekli hacker grubu “BlueNoroff” ile bağlantılı olduğunu bildirdi.
Araştırmacılar, kötü amaçlı yazılımın, yükü enjekte etmek için Apple’ın bellek korumalarını aşabilmesi nedeniyle dikkat çekici olduğunu belirtti.
Bu kötü amaçlı yazılım, tuş kaydı yapma, ekran kaydı alma, panoyu alma işlevleri için kullanılıyor ve aynı zamanda “kripto para hırsızlığına odaklanan” CryptoBot adlı “tam özellikli bir bilgi çalıcı” içeriyor. Bilgi çalıcı, tarayıcı eklentilerine sızarak cüzdan eklentilerini arıyor.
Bu hafta, blockchain güvenlik firması SlowMist, kullanıcıları, kripto para cüzdanı kimlik bilgilerini çalmak üzere tasarlanmış düzinelerce sahte Firefox eklentisini içeren “devasa bir kötü niyetli kampanya” konusunda uyardı.
Sentinel Labs araştırmacıları, “Son birkaç yılda, özellikle son derece sofistike, devlet destekli saldırganlar açısından macOS'in tehdit aktörleri için daha büyük bir hedef haline geldiğini gördük,” diyerek Mac'lerin virüs kapmadığı efsanesini çürüttü.