Slevová nabídka pro více licencí
Databáze hrozeb Malware Malware NimDoor

Malware NimDoor

V roce Mezo v roce Malware
Přeložit do:

Odborníci na kybernetickou bezpečnost odhalili novou a nenápadnou rodinu malwaru pro macOS s názvem NimDoor, která představuje vážnou hrozbu kvůli svým pokročilým technikám perzistence, nenápadným mechanismům krádeže dat a sofistikovaným možnostem úniku. Tato škodlivá kampaň je připisována aktérům spojeným se Severní Koreou, kteří cílí na sektory Web3 a kryptoměn.

Severokorejští hackeři se uchylují k Nim a macOS

Aktéři s podezřením na napojení na Severní Koreu nyní ve svém malwarovém arzenálu využívají programovací jazyk Nim. To představuje neustálý vývoj jejich nástrojů, přičemž předchozí kampaně využívaly jazyky jako Go a Rust. Nové využití jazyka Nim ukazuje záměr inovovat, zejména při vytváření multiplatformních hrozeb, které je obtížné detekovat a analyzovat.

V této kampani útočníci cíleně útočí na organizace zaměřené na Web3 a kryptoměny, což naznačuje finančně motivovanou operaci se zájmem o narušení nebo infiltraci infrastruktury digitálních financí.

Velmi neobvyklé techniky v macOS

Obzvláště znepokojivý je NimDoor jeho nekonvenční přístup k infekcím macOS. Nejvýznamnější je, že používá:

  • Vkládání procesů, což je vzácná technika pro malware v systému macOS, která umožňuje hrozbě unést a manipulovat s legitimními procesy.
  • Komunikační kanály WSS (WebSocket Secure) pro šifrované interakce C2.
  • Nová metoda perzistence, která využívá obslužné rutiny signálů SIGINT a SIGTERM, což umožňuje malwaru znovu se nainstalovat po ukončení nebo restartu systému.

Díky těmto funkcím si zachovává nenápadnost a odolnost vůči běžným narušením způsobeným uživateli nebo systémem.

Řetězec útoků poháněný sociálním inženýrstvím

Útok začíná strategií sociálního inženýrství:

  • Oběti jsou kontaktovány prostřednictvím platforem, jako je Telegram, a lákány k naplánování schůzky přes Zoom pomocí Calendly.
  • Dostanou falešný e-mail s aktualizačním skriptem Zoom SDK, údajně za účelem zajištění kompatibility se softwarem pro videokonference.

To vede ke spuštění škodlivého skriptu AppleScript, který stáhne skript druhé fáze ze vzdáleného serveru a zároveň uživatele přesměruje na legitimní odkaz Zoom. Skript druhé fáze extrahuje ZIP archivy obsahující:

  • Binární soubory pro zajištění perzistence
  • Bash skripty pro krádež systémových dat

Role InjectWithDyldArm64

Jádrem infekčního procesu je zavaděč C++ známý jako InjectWithDyldArm64, nebo jednoduše InjectWithDyld. Tato komponenta je klíčová pro efektivní a skryté nasazení malwaru. Začíná dešifrováním dvou vložených binárních souborů, jednoho s názvem „Target“ a druhého „trojan1_arm64“. Po dešifrování spustí proces Target v pozastaveném stavu. Jakmile je proces pozastaven, zavaděč do něj vloží binární soubor trojan1_arm64 a poté obnoví jeho provádění. Tato metoda umožňuje doručení a aktivaci škodlivého obsahu vysoce nenápadným způsobem, obchází standardní systémovou obranu a minimalizuje šanci na odhalení.

Krádež přihlašovacích údajů a sledování systému

Jakmile je malware aktivní, naváže spojení se vzdáleným serverem Command-and-Control (C2), což mu umožňuje provádět několik škodlivých operací. Patří mezi ně shromažďování podrobných systémových informací, provádění libovolných vzdáleně vydaných příkazů, procházení různých adresářů a přenos výsledků těchto akcí zpět útočníkovi.

Hrozba se stupňuje zapojením komponenty trojan1_arm64, která útok zesiluje získáním dvou dalších dat z infrastruktury C2. Tato datová data jsou vytvořena speciálně pro sběr citlivých informací. Jejich primárním cílem jsou přihlašovací údaje uložené v široce používaných webových prohlížečích – Arc, Brave, Chrome, Edge a Firefox – a také uživatelská data z aplikace pro zasílání zpráv Telegram.

Mechanismy perzistence

Kromě svých primárních komponent malware také nasazuje spustitelné soubory založené na Nimu, které aktivují modul známý jako CoreKitAgent. Tento modul hraje klíčovou roli v zajištění odolnosti malwaru monitorováním jakýchkoli pokusů o ukončení jeho činnosti. Aby si udržel svou přítomnost, instaluje vlastní obslužné rutiny signálů pro SIGINT a SIGTERM, což mu umožňuje automaticky se znovu spustit, pokud se jej uživatel nebo bezpečnostní nástroj pokusí vypnout. Tento vestavěný mechanismus výrazně posiluje odolnost malwaru.

Útočníci také hojně využívají AppleScript, a to nejen během počáteční fáze infekce, ale také v průběhu celého fungování malwaru pro průběžné monitorování a kontrolu. Prostřednictvím této skriptovací schopnosti malware pravidelně odesílá signály beacon každých 30 sekund na pevně zakódované servery C2, získává podrobnosti o aktuálně spuštěných procesech a provádí nové příkazy vydané vzdáleným útočníkem.

Proč Nim dělá malware nebezpečnějším

Použití programovacího jazyka Nim poskytuje útočníkům značné výhody. Schopnost Nimu spouštět funkce během kompilace jim umožňuje:

  • Vložte složitou logiku, kterou je obtížné odhalit
  • Zatemnění toku řízení v binárních souborech
  • Prolínání vývojářského a běhového kódu, což výrazně ztěžuje analýzu

To vede ke kompaktním, vysoce funkčním binárním souborům se sníženou viditelností pro tradiční detekční moduly malwaru.

NimDoor je drsnou připomínkou toho, že macOS již není imunní vůči pokročilým přetrvávajícím hrozbám. Vzhledem k tomu, že severokorejští aktéři nyní útočí na tuto platformu pomocí vyvíjejících se technik a méně známých programovacích jazyků, je informovanost a ostražitost důležitější než kdy jindy.

Trendy

Nejvíce shlédnuto

Načítání...