Nordkoreanische Hacker attackieren Web3-Startups mit gefälschten Zoom-Einladungen – so schützen Sie sich!

Cyberangriffe auf Krypto-Startups nehmen zu – und Nordkorea mischt kräftig mit. Aktuelle Berichte enthüllen eine neue Masche: Gefälschte Zoom-Meeting-Einladungen, die gezielt Web3-Unternehmen ins Visier nehmen.

Wie die Angriffe ablaufen:

Die Hacker geben sich als legitime Investoren oder Partner aus und locken Opfer in vermeintliche Business-Calls. Ein Klick auf den Link – und schon ist die Malware installiert. Besonders dreist: Die Angreifer nutzen Social Engineering, um Sicherheitsvorkehrungen zu umgehen.

Warum Web3 im Fokus steht:

Dezentrale Finanzprojekte sind lukrative Ziele – nicht nur wegen der oft laxen Sicherheitsstandards (danke, ‚Move Fast and Break Things‘-Mentalität). Nordkoreas Hackergruppen wie Lazarus haben sich auf die Ausbeutung von Crypto-Pools spezialisiert.

Schutzmaßnahmen:

- Links in Einladungen immer manuell prüfen
- Multi-Faktor-Authentifizierung erzwingen
- Mitarbeiter für Phishing-Taktiken sensibilisieren

Fazit: Während traditionelle Banken noch über Blockchain debattieren, zeigt dieser Vorfall wieder mal – in der DeFi-Welt geht es nicht um ‚ob‘, sondern ‚wann‘ man angegriffen wird. Die einzige Frage: Wie viel haben die Hacker diesmal gemacht, bevor jemand die Reißleine zieht?

Nordkoreanische Hacker trugen Opfer durch falsche Zoom -Meeting -Updates

Nordkoreanische Angreifer beginnen ihre Angriffe, indem sie als bekannte Kontakte durch Telegrammnachrichten aufstellen und anschließend ihre Opfer auffordern, Treffen durch kalendische Planungsseiten zu organisieren. Opfer werden per E -Mail eingeladen, um ein legitimes Zoom -Software -Update herunterzuladen, wobei gefälschte Zoom -Meeting -Links eingebettet zu sein scheint.

Die Angreifer erstellen Domänen, die böswillige Dateien enthalten, die als Zoom -Support -Update -Dateien dargestellt werden, mit Domainnamen, die den tatsächlichen URLs mit Zoombesprechungen ähneln. Die gefälschten Domänen enthalten Variationen wie Support.us05Web-zoom.forum und Support.US05Web-zoom

Die Angriffsprogramme haben Tausende von leeren Raum, um ihren Zweck zu verbergen, sodass sie größer und natürlicher zu sein scheinen als einfache Angriffsprogramme. In diesen Programmen sind nur drei Zeilen von Angriffscode versteckt, die andere Angriffsmodule von Servern herunterladen und ausführen, die von den Hackern betrieben werden.

Sentinellabs-Forscher entdeckten mehrere gleichzeitige Domänen, die von denselben Angreifern verwendet wurden, die auf eine weitläufige Kampagne wiesen, die zahlreiche Opfer mit individuellen Webadressen für jedes Opfer beeinflusste. Die Tippfehler der gefälschten Aktualisierungsdateien wie "Zook SDK -Update" anstelle von "Zoom SDK -Update" können von Sicherheitsforschern leichter erkennbar und trac-Kable.

Sobald das gefälschte Update von den Opfern ausgeführt wurde, lädt die Malware eine legitime Zoom -Umleitungs -URL mit einer HTML -Datei. Dies zeigt die anfängliche Infektion als legitim und initiiert verdeckt die Hauptangriffskomponenten im Rücken. Dies dient dazu, die Opfer irreführend zu glauben, dass sie einen Standard -Software -Update -Prozess erfolgreich durchgeführt haben.

Nimdoor Malware stiehlt Passwörter und personenbezogene Daten

Die Nimdoor Malware -Kampagne verwendet zwei separate Angriffswege, sobald sie erfolgreich Opfer Computer infiziert. Der erste Pfad konzentriert sich darauf, persönliche Informationen einschließlich Passwörter, Browserdaten und Chat -Historien aus beliebten Anwendungen zu stehlen. Der zweite Weg legt den langfristigen Zugriff auf kompromittierte Systeme durch versteckte Hintergrundprogramme fest.

Die Malware zielt auf mehrere Webbrowser ab, darunter Google Chrome, Firefox, Microsoft Edge, Brave und ARC, kopierten gespeicherten Kennwörter, Browserverlauf und gespeicherte Anmeldeinformationen. Außerdem werden Systemkennwörter gestohlen, die in den integrierten Kennwortverwaltungssystemen von Mac Computern gespeichert sind, und die Befehlsverlaufsdateien von Kopien, die zeigen, welche Programme Benutzer ausgeführt haben.

Eine spezielle Komponente zielt speziell auf Telegrammnachrichtendaten AB und stiehlt verschlüsselte Chat -Datenbanken und Entschlüsselungsschlüssel, mit denen Angreifer private Gespräche offline lesen können. Die gestohlenen Telegramminformationen enthalten sowohl die verschlüsselten Nachrichtendateien als auch die speziellen Schlüssel, die zum Entsperren und Lesen dieser Nachrichten erforderlich sind.

Alle gestohlenen Informationen werden verpackt und durch verschlüsselte Verbindungen an mit Angreifer kontrollierte Server gesendet. Die Malware erstellt versteckte Ordner auf infizierten Computern, um kopierte Daten vor der Übertragung vorübergehend zu speichern, wobei Namen verwendet werden, um wie legitime Systemdateien auszusehen.

Der Angriff verwendet fortschrittliche Programmiersprachen, einschließlich NIM und C ++, dass viele Sicherheitsprogramme Schwierigkeiten haben, zu erkennen. Die Malware enthält Funktionen, mit denen die Erkennung durch Sicherheitssoftware zur Vermeidung von Sicherheitssoftware, z. B. durch verschlüsselte Webverbindungen und Verwendung von legitim aussehenden Dateinamen und -Onale kommuniziert wird.

Die Angreifer haben die Malware so gestaltet, dass sie speziell auf MAC-Computern arbeitete und integrierte MAC-Funktionen nutzte, um ihre Aktivitäten zu verbergen und anhaltenden Zugriff auf infizierte Systeme aufrechtzuerhalten.

Fortgeschrittene Persistenzmethoden stellen sicher, dass die Malware überlebt

Die Nimdoor -Malware enthält Methoden, um den Zugriff auf infizierte Computer zu erhalten, auch nachdem Benutzer ihre Systeme neu gestartet oder versucht haben, die böswillige Software zu entfernen. Die Angreifer verwenden einen cleveren Ansatz, der die Malware automatisch verbündet, wenn Benutzer versuchen, sie zu beenden oder zu löschen matic

Wenn Benutzer versuchen, den Malware -Prozess zu stoppen oder ihre Computer zu schalten, fängt die Malware diese Kündigungssignale an und schreibt sofort Backup -Kopien von sich selbst an verborgenen Standorten auf dem infizierten System. Dies schafft eine Situation, in der der Versuch, die Malware zu entfernen, tatsächlich ihren Neuinstallationsprozess auslöst.

Die Malware erstellt gefälschte Systemdateien mit Namen, die so konzipiert sind, dass sie legitim aussehen, z. B. das Erstellen von Ordnern, die nach Google -Diensten benannt sind, jedoch mit subtilen Unterschieden, die Benutzer normalerweise nicht bemerken. Diese gefälschten Dateien erhalten automatischematic Startberechtigungen, die dazu führen, dass die Malware jedes Mal ausgeführt wird, wenn der Computer startet.

Eine Schlüsselkomponente fungiert als leichtes Überwachungsprogramm, das alle 30 Sekunden bei Angreifer -Servern eingecheckt und Informationen zum Ausführen von Programmen und Warten auf neue Befehle sendet. Diese Überwachung erfolgt durch scheinbar unschuldige Verbindungen, die dem normalen Webverkehr ähnlich erscheinen.

Die Malware enthält außerdem eine Verzögerung von 10 Minuten, bevor sie vollständig aktiv werden. Dadurch wird die Erkennung durch Sicherheitssoftware vermieden, die nach sofort verdächtigem Verhalten scannt. Diese Verzögerung lässt die Malware wie ein normales Programm erscheinen, für das der Start der Zeit erforderlich ist.

Diese Persistenzmethoden durch nordkoreanische Hacker machen die Malware für durchschnittliche Benutzer besonders schwierig, vollständig zu entfernen. Es erfordert auch häufig spezielle Sicherheitsinstrumente oder professionelle Unterstützung bei vollständig sauberen infizierten Systemen.

Cryptopolitan Academy: Müde von Marktschwankungen? Erfahren Sie, wie DeFi Ihnen helfen kann, ein stetiges passives Einkommen aufzubauen. Registrieren Sie sich jetzt