Давно забытый вирус возродился и угрожает миллионам компьютеров по всему миру

Современная версия вредоносного софта NimDoor создана с помощью языка программирования C++. По данным исследователей из компании SentinelOne, атака начинается с того, что жертву через Telegram или электронную почту обманом заставляют установить фальшивое обновление для Zoom, которое отправляется через Calendly и электронную почту. После этого на компьютер жертвы загружаются несколько бинарных файлов, в частности "installer", который готовит систему к дальнейшему заражению, создавая нужные директории и конфигурационные пути, пишет 24 Канал со ссылкой на BleepingComputer.

Смотрите также Американец взломал несколько компаний, чтобы потом предложить себя как "спасителя" Один из компонентов, названный хакерами "GoogIe LLC" отвечает за сбор данных о системе и создание конфигурационного файла, который обеспечивает повторный запуск вредителя после входа в систему. Другой ключевой элемент, "CoreKitAgent", является основным исполнительным модулем NimDoor. Это самая новая составляющая в программе.

Он работает на основе механизма kqueue в macOS, используя сложную систему состояний и событий для адаптации к условиям выполнения. Уникальной особенностью этого вредителя является реакция на сигналы завершения процесса, такие как SIGINT и SIGTERM. Вместо того, чтобы прекратить работу, CoreKitAgent запускает процедуру переустановки, восстанавливая все необходимые компоненты.

Это делает вирус устойчивым к стандартным методам защиты, ведь даже попытка завершить процесс приводит к его повторному развертыванию. Параллельно с основной деятельностью NimDoor другие скрипты, такие как "zoom_sdk_support.scpt", запускают дополнительные цепочки заражения. Они вытягивают данные из веб-браузеров, воруют информацию из Keychain, истории команд в