Специалисты компании Sentinel Labs обнаружили новую многоступенчатую кибератаку, в которой злоумышленники из Северной Кореи (КНДР) целенаправленно нацеливаются на криптовалютные компании, используя вредоносное ПО для macOS. Кампания отличается продуманными методами социальной инженерии и высоким уровнем скрытности.
По данным исследователей, атака начинается с фишинговых писем, в которых пользователям предлагают установить якобы легитимное обновление кошелька или клиентское приложение. Вложения содержат вредоносный установщик, маскирующийся под .dmg-файл. После запуска первого модуля вредоносное ПО устанавливает бекдор и средства сбора информации.
Основные этапы атаки:
- Инфильтрация: фишинговый e-mail с поддельной подписью и ссылкой на malware-образ.
- Установка: при запуске .dmg-файла на устройство загружается основной payload.
- Раскрытие: вредоносное ПО активирует кейлоггер и инструменты для снятия скриншотов.
- Командно-контрольный канал: ПК связывается с сервером злоумышленников для получения команд и отправки похищенных данных.
Исследователи подчёркивают, что злоумышленники уделяют особое внимание надежному шифрованию каналов связи и использованию легитимных сертификатов Apple для обхода встроенных механизмов безопасности macOS.
Sentinel Labs рекомендует всем сотрудникам криптовалютных организаций воздержаться от установки приложений и обновлений из непроверенных источников, а также своевременно применять официальные патчи Apple и использовать антифишинговые решения.
Эксперты также советуют регулярно проверять сетевой трафик и журналы безопасности на предмет подозрительных подключений к несанкционированным доменам и IP-адресам. Это позволит своевременно обнаружить возможные попытки компрометации macOS-устройств.
Новая кампания представляет собой очередное доказательство того, что киберугрозы от группировок, связанных с КНДР, становятся все более изощрёнными и целенаправленными, особенно в сфере криптовалют.
