Новий вірус для macOS атакує пристрої через фейкове оновлення Zoom

Дослідники виявили нову й дуже просунуту кібератаку на macOS, спрямовану на стартапи у сфері Web3 і криптовалют. Група хакерів з Північної Кореї розповсюджує шкідливе ПЗ під виглядом оновлення Zoom SDK для крадіжки даних та стійкого доступу до систем. Про це пише 9to5Mac.

Що таке NimDoor і як працює атака

Компанія SentinelLabs назвала цей зловмисний безпековий інструмент NimDoor. Його особливості включають:

• Комплексний ланцюг атак із використанням AppleScript, Bash, C++ та мови Nim.
• Використання процесної ін’єкції та захищених WebSocket (wss) для спілкування з C2-серверами.
• Механізм персистентності через обробку сигналів SIGINT/SIGTERM, що дозволяє шкіднику «самовідновлюватися» навіть після спроби видалення або перезавантаження.

Як відбувається зараження пристрою

1. Через Telegram атакувальники видають себе за знайомих і запрошують на Zoom-дзвінок — згодом надсилають фейковий Zoom‑лінк і скрипт-оновлення.
2. AppleScript‑скрипт завантажує другий етап — Bash‑тригери, що викрадають Keychain, дані браузера й Telegram.
3. Nim-і C++‑бінарі встановлюються як «GoogIe LLC», «installer» і «CoreKitAgent», налаштовуючи автозапуск через LaunchAgent і стійкий зв’язок із C2.

Які дані під загрозою

Шкідливе ПЗ NimDoor націлене на викрадення конфіденційної інформації з macOS-пристроїв. Зловмисники отримують доступ до контактів і паролів, збережених у системному сховищі Keychain, а також до історії браузерів, включно з Chrome, Brave, Firefox, Edge та Arc. Окремо виділяється збір даних із месенджера Telegram — зловмисники завантажують базу повідомлень та тимчасові ключі, що може дати їм доступ до облікових записів жертв.

Як захиститися: поради

• Не встановлюйте оновлення, отримані через підозрілі Zoom‑повідомлення або Telegram.

• Активуйте двофакторну автентифікацію та регулярні резервні копії.
• Використовуйте антивірус із підтримкою macOS і власну хмарну синхронізацію замість локального Keychain для чутливих даних.