IT之家 7 月 3 日消息,科技媒体 9to5Mac 昨日(7 月 2 日)发布博文,报道称有黑客组织结合 AppleScript、Bash、C++ 和 Nim 语言的技术链条,假冒 Zoom 会议邀请攻击苹果 Mac 用户,专门窃取敏感数据。
该攻击被网络安全公司 SentinelLabs 发现,并被命名为 NimDoor,其攻击方式要比传统 macOS 威胁更为复杂。
IT之家援引博文介绍,简要介绍下该攻击方式:DPRK 黑客组织利用 Nim 编译的安装文件和多个攻击链,攻击 Web3 和加密相关企业。
该 macOS 恶意软件的攻击者采用了进程注入技术,并通过 wss(WebSocket 协议的 TLS 加密版本)进行远程通信。
攻击者采用了一种新颖的持久性机制,利用 SIGINT/SIGTERM 信号处理器在恶意软件被终止或系统重启时安装持久性。
攻击者广泛使用 AppleScript,既用于初始访问,也在攻击链的后续阶段作为轻量级信标和后门;Bash 脚本被用来窃取 Keychain 凭据、浏览器数据以及 Telegram 用户数据。
研究人员还指出,NimDoor 反映了 macOS 恶意软件向更复杂、较少见的跨平台语言的转变,超越了黑客过去常用的 Go、Python 和 shell 脚本。
