Image by Compare Fiber, from Unsplash
Kripto Hacking Kampanyasında Kullanılan Sahte Zoom Güncellemeleri
Okuma süresi: 2 dk.
Son Güncellenen Jul 5, 2025
-
![Kiara Fabbri]()
-
![Sarah Frazier]()
Çevirisi tarafından yapılmıştır Sarah Frazier Siber Güvenlik Editörü
Bir Kuzey Koreli hacker grubu, Web3 ve kripto para şirketlerine yönelik yeni bir tür siber saldırının arkasında ve bu saldırılarda nadir görülen bir tür macOS zararlı yazılımı kullanıyor.
Acelesi olanlar için kısa bilgiler:
- Kuzey Koreli hackerlar, ileri düzey macOS zararlı yazılımlarıyla kripto firmalarını hedef alıyor.
- Zararlı yazılım, Nim dili ve sahte Zoom güncellemelerini kullanıyor.
- Kurbanlar, Telegram üzerinden sosyal mühendislik ile iletişime geçti.
Sentinel Labs ‘daki araştırmacılar, bu zararlı yazılım ailesini NimDoor olarak belirlediler çünkü bu, az bilinen programlama dili Nim’i kullanmaktadır.
Saldırı, bir sosyal mühendislik hilesiyle başlar. Saldırganlar, meslektaşları taklit ederek hedeflerine Telegram aracılığıyla ulaşırlar. Ardından kurbanlarına, sahte bir Zoom toplantı linki gönderdikten sonra bir “Zoom SDK güncelleme betiği” çalıştırmalarını isterler. 10.000 boş satır ve tek bir yazım hatası (“Zook” yerine “Zoom”) içeren kötü amaçlı betik, ardından 2 çalıştırılabilir dosya indirir.
Bir kez tetiklendiğinde, zararlı yazılım, giriş bilgilerini, tarayıcı verilerini ve Telegram sohbet geçmişini çalabilen bir program da dahil olmak üzere birkaç zararlı programı indirir ve kurar. Başka bir betik, kullanıcıların sistem dosyalarını, Keychain verilerini ve hatta terminal geçmişini gizlice kopyalar ve bunları tümünü uzak bir sunucuya geri gönderir.
Çoğu macOS zararlı yazılımının aksine, NimDoor, şifrelenmiş WebSocket Secure (wss) iletişiminin yanı sıra süreç enjeksiyonu gibi ileri teknikler kullanır. Zararlı yazılım, komut sunucularıyla güvenli iletişimi sağlayan gelişmiş özellikleri nedeniyle tespit edilmesi giderek zorlaşır.
Öne çıkan bir özelliği, süreklilik mekanizmasıdır: bir kullanıcı veya sistem zararlı yazılımı durdurmaya çalışsa bile, kendisini macOS’un kendi sinyal işleme araçları (SIGINT/SIGTERM) kullanarak yeniden yükler.
“Threat aktörler, analistler için yeni karmaşıklık seviyeleri getiren cross-platform dilleri keşfetmeye devam ediyor,” diye yazdı Sentinel Labs araştırmacıları Phil Stokes ve Raffaele Sabato. Nim ve AppleScript’in yanı sıra sahte güncelleme yemleri kullanımının, saldırganların yeni bir sofistikasyon seviyesine ulaştığını uyarıyorlar.
Güvenlik uzmanları, Web3 ve kripto platformlarının güvenlik önlemlerini artırırken, bu malware kampanyasının saldırganların güveni istismar ederek güvenli sistemlere sızabileceğini gösterdiği göz önüne alındığında, personeli sosyal mühendislik teknikleri hakkında eğitmeleri gerektiğini öneriyor.
Önceki Hikâye
Son makaleler 
