- Chủ đề
79k Phổ biến
35k Phổ biến
11k Phổ biến
4k Phổ biến
4k Phổ biến
29k Phổ biến
16k Phổ biến
22k Phổ biến
13k Phổ biến
3k Phổ biến
- Ghim
79k Phổ biến
35k Phổ biến
11k Phổ biến
4k Phổ biến
4k Phổ biến
29k Phổ biến
16k Phổ biến
22k Phổ biến
13k Phổ biến
3k Phổ biến
Tin tặc Triều Tiên sử dụng bản cập nhật Zoom giả mạo để phát tán phần mềm độc hại macOS "NimDoor" nhằm vào các công ty Tài sản tiền điện tử.
Theo báo cáo của 《The Block》: SentinelLabs cảnh báo rằng hacker Triều Tiên đã lợi dụng virus cửa hậu NimDoor giả mạo bản cập nhật Zoom để tấn công hệ thống macOS, đánh cắp dữ liệu và mật khẩu Ví tiền.
Công ty an ninh SentinelLabs đã cảnh báo trong một báo cáo nghiên cứu mới nhất rằng một tổ chức tấn công mạng của Triều Tiên đang sử dụng một loại virus cửa hậu macOS mới có tên là NimDoor, lây nhiễm vào các thiết bị Apple để xâm nhập vào các công ty tiền mã hóa và đánh cắp chứng thực ví tiền cũng như mật khẩu trình duyệt.
Virus này ẩn mình trong một chương trình cập nhật Zoom giả mạo, phương pháp lây lan chủ yếu diễn ra qua nền tảng mạng xã hội Telegram, kẻ tấn công đã sử dụng chiến lược kỹ thuật xã hội quen thuộc: trước tiên tiếp cận người dùng mục tiêu qua Telegram, sau đó sắp xếp "cuộc họp" trên Calendly, dụ dỗ nạn nhân tải xuống gói cài đặt độc hại được ngụy trang thành cập nhật Zoom. Phần mềm này đã vượt qua cơ chế kiểm tra an ninh của Apple bằng cách "sideloading", thành công chạy trên thiết bị.
Điều đặc biệt của NimDoor là nó được viết bằng một ngôn ngữ lập trình ít được sử dụng trong phần mềm độc hại là Nim, điều này giúp nó tránh được việc nhận diện trong kho virus hiện tại của Apple. Một khi được cài đặt, cửa hậu này sẽ:
Thu thập mật khẩu được lưu trữ của trình duyệt;
Đánh cắp cơ sở dữ liệu cục bộ của Telegram;
Trích xuất tệp ví tiền mã hóa;
Và tạo mục khởi động đăng nhập, thực hiện chạy liên tục và tải xuống các mô-đun tấn công tiếp theo.
SentinelLabs đề xuất:
Công ty mã hóa nên cấm tất cả các gói cài đặt chưa ký.
Chỉ tải bản cập nhật Zoom từ trang web chính thức zoom.us;
Xem xét danh sách liên lạc Telegram, cảnh giác với các tài khoản lạ chủ động gửi tệp thực thi.
Cuộc tấn công này là một phần trong hành động tấn công liên tục của Triều Tiên nhằm vào ngành Web3. Trước đó, Interchain Labs đã tiết lộ rằng đội ngũ dự án Cosmos đã từng vô tình thuê các nhà phát triển từ Triều Tiên. Đồng thời, Bộ Tư pháp Hoa Kỳ cũng đã buộc tội một số nghi phạm mang quốc tịch Triều Tiên, cáo buộc rằng họ đã rửa hơn 900.000 đô la tiền mã hóa bị đánh cắp thông qua Tornado Cash, những người này đã giả mạo danh tính công dân Hoa Kỳ và lên kế hoạch cho nhiều cuộc tấn công mạng.
Theo ước tính mới nhất của công ty an ninh blockchain TRM Labs, trong nửa đầu năm 2025, các tổ chức hacker có liên quan đến Triều Tiên đã đánh cắp hơn 1,6 tỷ USD tài sản mã hóa. Trong đó, chỉ riêng sự kiện tấn công Bybit vào tháng 2 năm nay đã gây ra thiệt hại 1,5 tỷ USD, chiếm hơn 70% tổng thiệt hại mã hóa của Web3 trong nửa đầu năm.