loading...
近日,朝鲜黑客组织利用名为NimDoor的高级恶意软件,针对Web3及加密货币企业展开系统性网络攻击,引发行业对数字资产安全的深度担忧。
攻击者通过Telegram冒充受害者联系人,引导其在Calendly页面预约会议,随后发送带有虚假Zoom更新链接的邮件。这些伪造域名如support.us05web-zoom.forum与真实站点高度相似,旨在欺骗用户下载恶意程序。
研究人员发现,恶意文件zoom_sdk_support.scpt包含超过一万行空白代码,实际执行仅三行指令,用于从远程服务器下载并加载第二阶段恶意模块。拼写错误如“Zook SDK”成为追踪线索,表明攻击者存在明显疏漏。
NimDoor采用双重攻击路径:一方面从Chrome、Firefox、Edge、Brave、Arc等主流浏览器中提取保存的密码、浏览历史与登录凭证;另一方面读取Mac系统内置密码管理器数据及命令行操作记录。
更严重的是,该恶意软件专门针对Telegram应用,窃取加密聊天数据库及其解密密钥,使攻击者可在离线状态下查看用户私密对话。所有被盗数据经加密后传至攻击者控制服务器,并存储于伪装成合法系统的隐藏文件夹中。
即便用户尝试卸载或终止进程,NimDoor仍能自动重新安装自身。它通过捕获终止信号并将备份写入隐蔽位置实现自我恢复。
恶意软件创建与Google服务命名相近的伪装文件夹(如拼写差异),获得开机自启权限,在每次启动时激活。同时,一个轻量级监控程序每30秒向攻击者服务器发送运行状态,通信方式模仿正常流量,极难被检测。
为规避即时扫描,恶意软件在激活前设有10分钟延迟,使其表现得像普通初始化程序。这种设计极大提高了隐蔽性,普通用户难以彻底清除,通常需专业工具干预。
此次攻击使用Nim与C++混合编程,具备高度定制化特征,传统安全工具难以识别,凸显当前加密生态面临的安全挑战。
随着全球对数字货币和Web3基础设施依赖加深,此类高阶攻击事件频发,不仅威胁企业资产安全,也影响市场信心。专家提醒,加强员工安全意识培训、部署多层防御体系已成为当务之急。
625
197
281
459
168
447
144
503
283
223
