Kuzey Koreli Siber Suçlular, Apple Cihazlarını Hedef Alan Yeni Malware ile Kripto Firmalarını Hedef Alıyor

Güvenlik firması Sentinel Labs'ın araştırmacıları, Kuzey Koreli siber suçluların kripto firmalarını hedef almak için Apple cihazlarını istismar eden yeni bir malware türü kullandığı konusunda uyardı. 'NimDoor' adlı bu malware, sosyal mühendislik ve gelişmiş kalıcılık tekniklerinden yararlanarak macOS sistemlerini tehlikeye atıyor.

Saldırganlar, Telegram gibi mesajlaşma platformlarında güvenilir kişiler gibi davranarak iletişime geçiyor. Hedefler, genellikle blockchain veya Web3 firmalarındaki çalışanlar, sahte Zoom toplantılarına yönlendiriliyor ve rutin bir Zoom SDK güncellemesi gibi görünen bir şeyi yüklemeleri isteniyor. Bu kurulum, kullanıcının cihazına birçok malware aşaması yüklüyor; bunlar arasında AppleScript tabanlı işaretçiler, kimlik bilgisi hırsızlığı için Bash betikleri ve uzaktan komut yürütme için Nim ve C++'de derlenmiş ikili dosyalar bulunuyor.

CoreKitAgent adlı bir ikili dosya, kullanıcılar malwaresi kapatmaya çalıştığında çalışan bir sinyal tabanlı kalıcılık mekanizması kullanır ve sistem yeniden başlatıldıktan sonra bile aktif kalmasını sağlar. Kripto para birimleri, operasyonun temel hedefidir. Malware, özellikle dijital cüzdanlarla ilgili tarayıcıda saklanan kimlik bilgilerini ve uygulama verilerini arar.

Malware, Chrome, Brave, Edge ve Firefox gibi popüler tarayıcılardan ve Apple'ın Keychain şifre yöneticisinden bilgi çıkarmak için tasarlanmış betikleri çalıştırır. Başka bir bileşen, Telegram'ın şifreli veritabanını ve anahtar dosyalarını hedef alarak, mesajlaşma uygulaması üzerinden değiş tokuş edilen cüzdan tohum ifadelerini ve özel anahtarları potansiyel olarak açığa çıkarır.

Sentinel Labs, bu kampanyayı Kuzey Kore ile bağlantılı bir tehdit aktörüne atfetti ve Kuzey Kore Demokratik Halk Cumhuriyeti tarafından yapılan kripto odaklı siber saldırıların devamı niteliğinde olduğunu belirtti. Daha önceki operasyonlarda Go ve Rust'ta yazılmış malware görülmüştü, ancak bu kampanya, macOS hedeflerine karşı Nim'in ilk büyük konuşlandırmalarından birini işaret ediyor. Araştırmacılar, tehdit aktörlerinin belirsiz programlama dillerini ve gelişmiş teknikleri giderek daha fazla benimsemesiyle birlikte, macOS etrafındaki geleneksel güvenlik varsayımlarının artık geçerli olmadığını vurguluyor.