Malware NimDoor
I professionisti della sicurezza informatica hanno scoperto una nuova e subdola famiglia di malware per macOS, denominata NimDoor, che rappresenta una seria minaccia grazie alle sue avanzate tecniche di persistenza, ai sofisticati meccanismi di furto di dati e alle sofisticate capacità di elusione. Questa campagna dannosa è attribuita ad attori di minacce affiliati alla Corea del Nord che prendono di mira i settori del Web3 e delle criptovalute.
Sommario
Gli hacker nordcoreani puntano su Nim e macOS
Gli autori di minacce sospettati di essere collegati alla Corea del Nord stanno ora sfruttando il linguaggio di programmazione Nim nel loro arsenale di malware. Questo segna un'evoluzione continua del loro toolkit, con campagne precedenti che utilizzavano linguaggi come Go e Rust. Il nuovo utilizzo di Nim dimostra la volontà di innovare, soprattutto nella creazione di minacce multipiattaforma difficili da rilevare e analizzare.
In questa campagna, gli aggressori prendono di mira specificamente le organizzazioni focalizzate su Web3 e sulle criptovalute, il che suggerisce un'operazione motivata da interessi finanziari, con l'obiettivo di interrompere o infiltrarsi nell'infrastruttura della finanza digitale.
Tecniche macOS altamente insolite
Ciò che rende NimDoor particolarmente preoccupante è il suo approccio non convenzionale all'infezione di macOS. In particolare, utilizza:
- Iniezione di processi, una tecnica rara per i malware macOS, che consente alla minaccia di dirottare e manipolare processi legittimi.
- Canali di comunicazione WSS (WebSocket Secure) per interazioni C2 crittografate.
- Un nuovo metodo di persistenza che sfrutta i gestori dei segnali SIGINT e SIGTERM, consentendo al malware di reinstallarsi una volta terminato o al riavvio del sistema.
Queste caratteristiche consentono di mantenere un basso profilo e di resistere alle comuni interruzioni avviate dall'utente o dal sistema.
Catena di attacchi alimentata dall’ingegneria sociale
L'attacco inizia con una strategia di ingegneria sociale:
- Le vittime vengono contattate tramite piattaforme come Telegram e indotte a pianificare una riunione Zoom utilizzando Calendly.
- Ricevono una falsa e-mail con uno script di aggiornamento dello Zoom SDK, presumibilmente per garantire la compatibilità con il software per videoconferenze.
Questo porta all'esecuzione di un AppleScript dannoso, che scarica uno script di seconda fase da un server remoto, reindirizzando l'utente a un link Zoom legittimo. Lo script di seconda fase estrae archivi ZIP contenenti:
- Binari per stabilire la persistenza
- Script Bash per rubare dati di sistema
Il ruolo di InjectWithDyldArm64
Al centro del processo di infezione c'è un loader C++ noto come InjectWithDyldArm64, o semplicemente InjectWithDyld. Questo componente è fondamentale per distribuire il malware in modo efficace e occulto. Inizia decifrando due file binari incorporati, uno denominato "Target" e l'altro "trojan1_arm64". Dopo la decifratura, avvia il processo Target in stato sospeso. Con il processo in pausa, il loader inietta il file binario trojan1_arm64 e quindi riprende l'esecuzione. Questo metodo consente ai payload dannosi di essere distribuiti e attivati in modo altamente stealth, aggirando le difese standard del sistema e riducendo al minimo le possibilità di essere rilevati.
Furto di credenziali e sorveglianza del sistema
Una volta attivo, il malware stabilisce una connessione con un server remoto di comando e controllo (C2), consentendogli di eseguire diverse operazioni dannose, tra cui la raccolta di informazioni di sistema dettagliate, l'esecuzione di comandi arbitrari impartiti da remoto, la navigazione tra diverse directory e la trasmissione dei risultati di queste azioni all'aggressore.
La minaccia si intensifica con il coinvolgimento del componente trojan1_arm64, che potenzia l'attacco recuperando altri due payload dall'infrastruttura C2. Questi payload sono creati appositamente per raccogliere informazioni sensibili. I loro obiettivi principali sono le credenziali di accesso memorizzate nei browser web più diffusi: Arc, Brave, Chrome, Edge e Firefox, nonché i dati utente dell'applicazione di messaggistica Telegram.
Meccanismi di persistenza
Oltre ai suoi componenti principali, il malware distribuisce anche eseguibili basati su Nim che attivano un modulo noto come CoreKitAgent. Questo modulo svolge un ruolo fondamentale nel garantire la resilienza del malware monitorando eventuali tentativi di interromperne l'esecuzione. Per mantenere la sua presenza, installa gestori di segnale personalizzati per SIGINT e SIGTERM, consentendogli di riavviarsi automaticamente se un utente o uno strumento di sicurezza tenta di interromperlo. Questo meccanismo integrato rafforza significativamente la persistenza del malware.
Gli aggressori fanno ampio uso di AppleScript, sfruttandolo non solo durante la fase iniziale dell'infezione, ma anche durante l'intero funzionamento del malware per un monitoraggio e un controllo continui. Grazie a questa capacità di scripting, il malware invia beacon periodici ogni 30 secondi ai server C2 hard-coded, esfiltra dettagli sui processi in esecuzione ed esegue nuovi comandi impartiti dall'autore della minaccia remota.
Perché Nim rende il malware più pericoloso
L'utilizzo del linguaggio di programmazione Nim offre agli aggressori notevoli vantaggi. La capacità di Nim di eseguire funzioni in fase di compilazione consente loro di:
- Incorpora una logica complessa difficile da rilevare
- Offuscare il flusso di controllo all'interno dei binari
- Mescolare il codice dello sviluppatore e quello del runtime, rendendo l'analisi significativamente più difficile
Ciò si traduce in file binari compatti e altamente funzionali, con visibilità ridotta per i tradizionali motori di rilevamento del malware.
NimDoor è un duro promemoria del fatto che macOS non è più immune alle minacce persistenti avanzate. Con gli autori di attacchi nordcoreani che ora prendono di mira questa piattaforma utilizzando tecniche in continua evoluzione e linguaggi di programmazione meno noti, rimanere informati e vigili è più che mai fondamentale.
