В последнее время эксперты по кибербезопасности фиксируют рост активности злоумышленников, связанных с Северной Кореей, которые целенаправленно атакуют криптовалютный сектор. В их арсенале - новые вредоносные программы, такие как RustDoor и Koi Stealer, адаптированные специально для операционной системы macOS. Эти угрозы не только воруют конфиденциальные данные, но и позволяют злоумышленникам получать удаленный доступ к зараженным устройствам.
Описание
RustDoor, по данным исследователей, маскируется под легитимное обновление ПО, что делает его особенно опасным для неопытных пользователей. Вредонос использует сложные техники уклонения от обнаружения, включая манипуляции с системными компонентами macOS. Это позволяет ему оставаться незамеченным даже при работе в фоновом режиме. Аналогичным образом действует и Koi Stealer - ранее не документированный вариант macOS-троянца, который собирает данные учетных записей, пароли и криптокошельки.
Аналитики с высокой степенью уверенности связывают эти атаки с северокорейскими APT-группами, которые уже неоднократно нацеливались на криптовалютные компании. Цель злоумышленников - похищение средств, которые затем могут использоваться для финансирования санкционных программ. Исследователи отмечают, что северокорейские хакеры часто применяют социальную инженерию, выдавая себя за работодателей или рекрутеров. Они предлагают потенциальным жертвам установить вредоносное ПО под предлогом тестового задания или собеседования.
Еще один опасный вектор атаки - использование поддельных проектов Visual Studio. Например, вредоносная задача "SlackToCSV" маскируется под полезный инструмент для разработчиков, ищущих работу. Заражение происходит через фишинговые письма или платформы для онлайн-собеседований. Как только файл оказывается на устройстве, злоумышленники получают контроль над системой и могут воровать криптографические ключи и другие ценные данные.
В целом, ситуация показывает, что угрозы для macOS становятся все более изощренными, а злоумышленники активно адаптируются под новые системы защиты. Криптоиндустрия остается одной из главных целей для киберпреступников, и без постоянного обновления средств защиты компании рискуют потерять не только данные, но и значительные финансовые активы.
Индикаторы компрометации
IPv4
- 31.41.244.92
- 5.255.101.148
URLs
- https://apple-ads-metric.com
- https://visualstudiomacupdate.com
SHA256
- 17064520feaf5804aa725e123b24fd0f73f8afc9b7f4361650cd11ddf4ee768f
- 27fcc3278afbbec44737e9f72666946607fea819f5b1cb9fbbe268037a561f0b
- 76f96a35b6f638eed779dc127f29a5b537ffc3bb7accc2c9bfab5a2120ea6bc9
- 77361f7ef25a0185636a0fc6deff2e9986720223da9d6b1494f671082105bebb
- 8be62324fe5af009c12fb9afc8d4f47d12c98ea680bff490b3f5e0c72c8f9617
- 8f0e2b8b3e07f5761066cb00bc0db10d68c56ada8c054e9f07990cc1ac5ae962
- 97abafff549ea21797c135c965c5e4a46a44ec7353b2edd293e8a22d5954b6aa
- a5b7ddd12539ce3e8c08bed5855ddcea3217d41d7d4c58fcc1a7e01336b38912
- a900ec81363358ef26bcdf7827f6091af44c3f1001bc8f52b766c9569b56faa5
- adde2970b40634e91b9ef8520f8e50eaa7901a65f9230e65d7995ac1a47700ef
- b5119a49830a2044f406645c261e54ab335c9b1e1ed320df758405a8147fae88
- b5412375477a180608bf410f5cb36b4a0949bee7663648a06879f42be9a3b6bc
- baa676b671e771bf04b245e648f49516b338e1f49cbd9b4d237cc36d57ab858d
- c379f4ab29a49d4bccb232c8551d1b8b01e64440ea495bbabef9010a519516c3
- c42b103b42d7e9817f93cb66716b7bf2e4fe73a405e0fbbae0806ce8b248a304