Rabattilbud med flere licenser
Trusseldatabase Malware NimDoor-malware

NimDoor-malware

Med Mezo i Malware
Oversæt til:

Cybersikkerhedseksperter har afsløret en ny og skjult macOS-malwarefamilie kaldet NimDoor, som udgør en alvorlig trussel på grund af dens avancerede persistensteknikker, skjulte datatyverimekanismer og sofistikerede undvigelsesfunktioner. Denne ondsindede kampagne tilskrives nordkoreansk-allierede trusselsaktører, der er rettet mod Web3- og kryptovalutasektoren.

Nordkoreanske hackere skifter til Nim og macOS

Trusselaktører, der mistænkes for at være forbundet med Nordkorea, udnytter nu programmeringssproget Nim i deres malware-arsenal. Dette markerer en løbende udvikling i deres værktøjssæt, hvor tidligere kampagner har brugt sprog som Go og Rust. Den nye brug af Nim viser en intention om at innovere, især i udformningen af trusler på tværs af platforme, der er vanskelige at opdage og analysere.

I denne kampagne går angriberne specifikt efter Web3 og kryptovaluta-fokuserede organisationer, hvilket antyder en økonomisk motiveret operation med en interesse i at forstyrre eller infiltrere digital finansinfrastruktur.

Meget usædvanlige macOS-teknikker

Det, der gør NimDoor særligt bekymrende, er dens ukonventionelle tilgang til macOS-infektion. Mest bemærkelsesværdigt bruger den:

  • Processjektion, en sjælden teknik til macOS-malware, der gør det muligt for truslen at kapre og manipulere legitime processer.
  • WSS (WebSocket Secure) kommunikationskanaler til krypterede C2-interaktioner.
  • En ny persistensmetode, der udnytter SIGINT- og SIGTERM-signalhåndterere, hvilket gør det muligt for malwaren at geninstallere sig selv, når den afsluttes eller genstartes.

Disse funktioner gør det muligt at opretholde en lav profil og forblive modstandsdygtig over for almindelige bruger- eller systeminitierede afbrydelser.

Social Engineering-drevet angrebskæde

Angrebet begynder med en social engineering-strategi:

  • Ofre kontaktes via platforme som Telegram og lokkes til at planlægge et Zoom-møde ved hjælp af Calendly.
  • De modtager en falsk e-mail med et Zoom SDK-opdateringsscript, angiveligt for at sikre kompatibilitet med videokonferencesoftwaren.

Dette fører til udførelse af et ondsindet AppleScript, som downloader et andet-trins script fra en ekstern server, mens det omdirigerer brugeren til et legitimt Zoom-link. Andet-trins scriptet udtrækker ZIP-arkiver, der indeholder:

  • Binære filer til etablering af persistens
  • Bash-scripts til at stjæle systemdata

InjectWithDyldArm64s rolle

Kernen i infektionsprocessen er en C++-loader kendt som InjectWithDyldArm64, eller blot InjectWithDyld. Denne komponent er afgørende for at implementere malwaren effektivt og skjult. Den begynder med at dekryptere to indlejrede binære filer, en med navnet 'Target' og den anden 'trojan1_arm64'. Efter dekryptering starter den Target-processen i en suspenderet tilstand. Når processen er sat på pause, injicerer loaderen den binære trojan1_arm64-fil i den og genoptager derefter udførelsen. Denne metode gør det muligt at levere og aktivere de skadelige nyttelaster på en meget diskret måde, omgå standard systemforsvar og minimere risikoen for opdagelse.

Legitimationstyveri og systemovervågning

Når malwaren er aktiv, opretter den en forbindelse til en ekstern Command-and-Control (C2)-server, hvilket gør det muligt for den at udføre adskillige ondsindede handlinger. Disse omfatter indsamling af detaljerede systemoplysninger, udførelse af vilkårlige kommandoer udstedt eksternt, navigering gennem forskellige mapper og transmission af resultaterne af disse handlinger tilbage til angriberen.

Truslen eskalerer med involvering af trojan1_arm64-komponenten, som forstærker angrebet ved at hente to yderligere nyttelast fra C2-infrastrukturen. Disse nyttelast er specielt designet til at indsamle følsomme oplysninger. Deres primære mål er loginoplysninger gemt i udbredte webbrowsere - Arc, Brave, Chrome, Edge og Firefox, samt brugerdata fra Telegram-beskedapplikationen.

Persistensmekanismer

Ud over sine primære komponenter anvender malwaren også Nim-baserede eksekverbare filer, der aktiverer et modul kendt som CoreKitAgent. Dette modul spiller en afgørende rolle i at sikre malwarens modstandsdygtighed ved at overvåge eventuelle forsøg på at afslutte dens drift. For at opretholde sin tilstedeværelse installerer den brugerdefinerede signalhandlere til SIGINT og SIGTERM, så den automatisk genstarter, hvis en bruger eller et sikkerhedsværktøj forsøger at lukke den ned. Denne indbyggede mekanisme styrker malwarens persistens betydeligt.

Angriberne gør også i vid udstrækning brug af AppleScript, og udnytter det ikke kun under den indledende infektionsfase, men også under hele malwarens drift til løbende overvågning og kontrol. Gennem denne scriptfunktion sender malwaren periodiske beacons hvert 30. sekund til hardcodede C2-servere, udvinder detaljer om aktuelt kørende processer og udfører nye kommandoer udstedt af den eksterne trusselsaktør.

Hvorfor Nim gør malware mere farlig

Brugen af programmeringssproget Nim giver angriberne bemærkelsesværdige fordele. Nims evne til at udføre funktioner under kompilering giver dem mulighed for at:

  • Integrer kompleks logik, der er vanskelig at opdage
  • Tilslør kontrolflow i binære filer
  • Bland udvikler- og runtime-kode, hvilket gør analyse betydeligt vanskeligere

Dette fører til kompakte, velfungerende binære filer med reduceret synlighed for traditionelle malware-detektionsmotorer.

NimDoor er en barsk påmindelse om, at macOS ikke længere er immun over for avancerede, vedvarende trusler. Da nordkoreanske aktører nu går efter denne platform ved hjælp af udviklende teknikker og mindre kendte programmeringssprog, er det vigtigere end nogensinde at være informeret og årvågen.

Trending

Mest sete

Indlæser...