Programari maliciós de NimDoor

Els professionals de la ciberseguretat han descobert una nova i furtiva família de programari maliciós per a macOS anomenada NimDoor, que representa una greu amenaça a causa de les seves tècniques avançades de persistència, els seus mecanismes furtius de robatori de dades i les seves sofisticades capacitats d'evasió. Aquesta campanya maliciosa s'atribueix a actors amenaçadors alineats amb Corea del Nord que tenen com a objectiu els sectors de la Web3 i les criptomonedes.

Els pirates informàtics nord-coreans es passen a Nim i macOS

Els actors amenaçadors sospitosos d'estar vinculats a Corea del Nord ara aprofiten el llenguatge de programació Nim en el seu arsenal de programari maliciós. Això marca una evolució contínua en el seu conjunt d'eines, amb campanyes anteriors que utilitzaven llenguatges com Go i Rust. El nou ús de Nim mostra una intenció d'innovar, especialment en la creació d'amenaces multiplataforma que són difícils de detectar i analitzar.

En aquesta campanya, els atacants van específicament contra organitzacions centrades en la Web3 i les criptomonedes, cosa que suggereix una operació amb motivacions financeres amb interès a interrompre o infiltrar-se en la infraestructura financera digital.

Tècniques de macOS molt inusuals

El que fa que NimDoor sigui especialment preocupant és el seu enfocament poc convencional a la infecció de macOS. El més destacable és que utilitza:

• Injecció de processos, una tècnica poc freqüent per al programari maliciós de macOS, que permet que l'amenaça segresti i manipuli processos legítims.
• Canals de comunicació WSS (WebSocket Secure) per a interaccions C2 xifrades.
• Un nou mètode de persistència que aprofita els controladors de senyals SIGINT i SIGTERM, permetent que el programari maliciós es reinstal·li quan finalitza o en reiniciar el sistema.

Aquestes característiques li permeten mantenir un perfil baix i seguir sent resistent a les interrupcions comunes iniciades per l'usuari o el sistema.

Cadena d’atac impulsada per l’enginyeria social

L'atac comença amb una estratègia d'enginyeria social:

• Les víctimes són contactades a través de plataformes com Telegram i convençudes perquè programin una reunió de Zoom utilitzant Calendly.
• Reben un correu electrònic fals amb un script d'actualització del SDK de Zoom, suposadament per garantir la compatibilitat amb el programari de videoconferència.

Això porta a l'execució d'un AppleScript maliciós, que descarrega un script de segona etapa des d'un servidor remot mentre redirigeix l'usuari a un enllaç legítim de Zoom. L'script de segona etapa extreu arxius ZIP que contenen:

• Binaris per establir la persistència
• Scripts de Bash per robar dades del sistema

El paper d’InjectWithDyldArm64

Al cor del procés d'infecció hi ha un carregador de C++ conegut com a InjectWithDyldArm64, o simplement InjectWithDyld. Aquest component és crucial per desplegar el programari maliciós de manera eficaç i encoberta. Comença desxifrant dos binaris incrustats, un anomenat "Target" i l'altre "trojan1_arm64". Després del desxifrat, procedeix a iniciar el procés Target en un estat suspès. Amb el procés en pausa, el carregador hi injecta el binari trojan1_arm64 i després reprèn l'execució. Aquest mètode permet que les càrregues útils malicioses es lliurin i s'activin de manera molt discreta, evitant les defenses estàndard del sistema i minimitzant les possibilitats de detecció.

Robatori de credencials i vigilància del sistema

Un cop actiu, el programari maliciós estableix una connexió amb un servidor remot de comandament i control (C2), cosa que li permet dur a terme diverses operacions malicioses. Aquestes inclouen la recopilació d'informació detallada del sistema, l'execució d'ordres arbitràries emeses de forma remota, la navegació per diferents directoris i la transmissió dels resultats d'aquestes accions a l'atacant.

L'amenaça augmenta amb la implicació del component trojan1_arm64, que potencia l'atac recuperant dues càrregues útils més de la infraestructura C2. Aquestes càrregues útils estan dissenyades específicament per recopilar informació sensible. Els seus objectius principals són les credencials d'inici de sessió emmagatzemades en navegadors web àmpliament utilitzats: Arc, Brave, Chrome, Edge i Firefox, així com les dades d'usuari de l'aplicació de missatgeria Telegram.

Mecanismes de persistència

Més enllà dels seus components principals, el programari maliciós també implementa executables basats en Nim que activen un mòdul conegut com a CoreKitAgent. Aquest mòdul juga un paper fonamental per garantir la resistència del programari maliciós mitjançant la supervisió de qualsevol intent de finalitzar el seu funcionament. Per mantenir la seva presència, instal·la controladors de senyals personalitzats per a SIGINT i SIGTERM, cosa que li permet reiniciar-se automàticament si un usuari o una eina de seguretat intenta tancar-lo. Aquest mecanisme integrat reforça significativament la persistència del programari maliciós.

Els atacants també fan un ús extensiu d'AppleScript, aprofitant-lo no només durant la fase d'infecció inicial, sinó també durant tot el funcionament del programari maliciós per a la supervisió i el control continus. A través d'aquesta capacitat de scripting, el programari maliciós envia balises periòdiques cada 30 segons a servidors C2 codificats, exfiltra detalls sobre els processos que s'estan executant actualment i executa noves ordres emeses per l'actor remot.

Per què Nim fa que el programari maliciós sigui més perillós

L'ús del llenguatge de programació Nim dóna als atacants avantatges notables. La capacitat de Nim per executar funcions en temps de compilació els permet:

• Incorpora una lògica complexa que sigui difícil de detectar
• Ofuscar el flux de control dins dels binaris
• Barregeu codi de desenvolupador i codi d'execució, cosa que dificulta significativament l'anàlisi.

Això condueix a binaris compactes i d'alt funcionament amb visibilitat reduïda per als motors tradicionals de detecció de programari maliciós.

NimDoor és un clar recordatori que macOS ja no és immune a les amenaces persistents avançades. Ara que els actors nord-coreans ataquen aquesta plataforma mitjançant tècniques en evolució i llenguatges de programació menys coneguts, mantenir-se informat i vigilant és més important que mai.