Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare NimDoor-skadevare

NimDoor-skadevare

Med Mezo i Skadelig programvare
Oversett til:

Cybersikkerhetseksperter har avdekket en ny og skjult macOS-skadevarefamilie kalt NimDoor, som utgjør en alvorlig trussel på grunn av sine avanserte persistensteknikker, skjulte datatyverimekanismer og sofistikerte unnvikelsesmuligheter. Denne ondsinnede kampanjen tilskrives nordkoreansk-tilknyttede trusselaktører som retter seg mot Web3- og kryptovalutasektoren.

Nordkoreanske hackere går over til Nim og macOS

Trusselaktører som mistenkes å være knyttet til Nord-Korea, bruker nå programmeringsspråket Nim i sitt arsenal av skadevare. Dette markerer en kontinuerlig utvikling i verktøysettet deres, med tidligere kampanjer som har brukt språk som Go og Rust. Den nye bruken av Nim viser en intensjon om å innovere, spesielt når det gjelder å lage plattformuavhengige trusler som er vanskelige å oppdage og analysere.

I denne kampanjen går angriperne spesifikt etter Web3 og kryptovalutafokuserte organisasjoner, noe som antyder en økonomisk motivert operasjon med interesse i å forstyrre eller infiltrere digital finansinfrastruktur.

Svært uvanlige macOS-teknikker

Det som gjør NimDoor spesielt bekymringsverdig er den ukonvensjonelle tilnærmingen til macOS-infeksjon. Mest bemerkelsesverdig bruker den:

  • Prosessinjeksjon, en sjelden teknikk for macOS-skadevare, som lar trusselen kapre og manipulere legitime prosesser.
  • WSS (WebSocket Secure) kommunikasjonskanaler for krypterte C2-interaksjoner.
  • En ny persistensmetode som utnytter SIGINT- og SIGTERM-signalbehandlere, slik at skadelig programvare kan installere seg selv på nytt når den avsluttes eller ved systemomstart.

Disse funksjonene gjør det mulig å opprettholde en lav profil og forbli motstandsdyktig mot vanlige bruker- eller systeminitierte avbrudd.

Angrepskjede drevet av sosial manipulering

Angrepet starter med en sosial manipuleringsstrategi:

  • Ofre blir kontaktet via plattformer som Telegram og lokket til å planlegge et Zoom-møte ved hjelp av Calendly.
  • De mottar en falsk e-post med et oppdateringsskript for Zoom SDK, angivelig for å sikre kompatibilitet med videokonferanseprogramvaren.

Dette fører til utførelse av et ondsinnet AppleScript, som laster ned et andre-trinnsskript fra en ekstern server samtidig som det omdirigerer brukeren til en legitim Zoom-lenke. Andre-trinnsskriptet pakker ut ZIP-arkiver som inneholder:

  • Binærfiler for å etablere persistens
  • Bash-skript for å stjele systemdata

Rollen til InjectWithDyldArm64

Kjernen i infeksjonsprosessen er en C++-laster kjent som InjectWithDyldArm64, eller bare InjectWithDyld. Denne komponenten er avgjørende for å distribuere skadelig programvare effektivt og i det skjulte. Den begynner med å dekryptere to innebygde binærfiler, en kalt «Target» og den andre «trojan1_arm64». Etter dekryptering starter den Target-prosessen i en suspendert tilstand. Når prosessen er satt på pause, injiserer lasteren trojan1_arm64-binærfilen i den og gjenopptar deretter kjøringen. Denne metoden lar de skadelige nyttelastene leveres og aktiveres på en svært skjult måte, omgå standard systemforsvar og minimere sjansen for oppdagelse.

Legitimasjonstyveri og systemovervåking

Når den er aktiv, oppretter den skadelige programvaren en forbindelse med en ekstern kommando-og-kontroll-server (C2), slik at den kan utføre flere ondsinnede operasjoner. Disse inkluderer å samle inn detaljert systeminformasjon, utføre vilkårlige kommandoer utstedt eksternt, navigere gjennom forskjellige kataloger og overføre resultatene av disse handlingene tilbake til angriperen.

Trusselen eskalerer med involvering av trojan1_arm64-komponenten, som forsterker angrepet ved å hente to nyttelaster til fra C2-infrastrukturen. Disse nyttelastene er laget spesielt for å samle inn sensitiv informasjon. Deres primære mål er påloggingsinformasjon lagret i mye brukte nettlesere - Arc, Brave, Chrome, Edge og Firefox, samt brukerdata fra meldingsapplikasjonen Telegram.

Persistensmekanismer

Utover hovedkomponentene bruker den skadelige programvaren også Nim-baserte kjørbare filer som aktiverer en modul kjent som CoreKitAgent. Denne modulen spiller en kritisk rolle i å sikre den skadelige programvarens robusthet ved å overvåke eventuelle forsøk på å avslutte driften. For å opprettholde sin tilstedeværelse installerer den tilpassede signalbehandlere for SIGINT og SIGTERM, slik at den automatisk kan starte på nytt hvis en bruker eller et sikkerhetsverktøy prøver å slå den av. Denne innebygde mekanismen styrker den skadelige programvarens utholdenhet betydelig.

Angriperne bruker også AppleScript i stor grad, og utnytter det ikke bare under den innledende infeksjonsfasen, men også gjennom hele skadevarens drift for kontinuerlig overvåking og kontroll. Gjennom denne skriptfunksjonen sender skadevaren ut periodiske beacons hvert 30. sekund til hardkodede C2-servere, eksfiltrerer detaljer om prosesser som kjører for øyeblikket og utfører nye kommandoer utstedt av den eksterne trusselaktøren.

Hvorfor Nim gjør skadelig programvare farligere

Bruken av programmeringsspråket Nim gir angriperne betydelige fordeler. Nims evne til å utføre funksjoner under kompilering lar dem:

  • Integrer kompleks logikk som er vanskelig å oppdage
  • Tilslør kontrollflyten i binærfiler
  • Bland utvikler- og runtime-kode, noe som gjør analysen betydelig vanskeligere

Dette fører til kompakte, velfungerende binærfiler med redusert synlighet for tradisjonelle motorer for deteksjon av skadelig programvare.

NimDoor er en sterk påminnelse om at macOS ikke lenger er immun mot avanserte, vedvarende trusler. Med nordkoreanske aktører som nå retter seg mot denne plattformen ved hjelp av utviklende teknikker og mindre kjente programmeringsspråk, er det viktigere enn noensinne å holde seg informert og årvåken.

Trender

Mest sett

Laster inn...