Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware NimDoor-malware

NimDoor-malware

Tegen Mezo in Malware
Vertalen naar:

Cybersecurityprofessionals hebben een nieuwe en sluwe macOS-malwarefamilie ontdekt, genaamd NimDoor. Deze malware vormt een ernstige bedreiging dankzij de geavanceerde persistentietechnieken, sluwe mechanismen voor gegevensdiefstal en geavanceerde ontwijkingsmogelijkheden. Deze kwaadaardige campagne wordt toegeschreven aan Noord-Koreaanse hackers die zich richten op de Web3- en cryptovalutasector.

Noord-Koreaanse hackers richten zich op Nim en macOS

Criminelen die ervan worden verdacht banden te hebben met Noord-Korea, gebruiken nu de programmeertaal Nim in hun malware-arsenaal. Dit markeert een voortdurende evolutie in hun toolkit, waarbij eerdere campagnes gebruikmaakten van talen zoals Go en Rust. Het nieuwe gebruik van Nim toont een streven naar innovatie, met name in het ontwikkelen van platformonafhankelijke bedreigingen die moeilijk te detecteren en analyseren zijn.

In deze campagne richten de aanvallers zich specifiek op Web3- en cryptovaluta-gerichte organisaties. Dit suggereert dat het om financieel gemotiveerde organisaties gaat die geïnteresseerd zijn in het verstoren of infiltreren van de digitale financiële infrastructuur.

Zeer ongebruikelijke macOS-technieken

Wat NimDoor zo zorgwekkend maakt, is de onconventionele aanpak van macOS-infecties. Het meest opvallende is de volgende aanpak:

  • Procesinjectie, een zeldzame techniek voor macOS-malware waarmee de dreiging legitieme processen kan kapen en manipuleren.
  • WSS (WebSocket Secure) communicatiekanalen voor gecodeerde C2-interacties.
  • Een nieuwe persistentiemethode die gebruikmaakt van SIGINT- en SIGTERM-signaalhandlers, waardoor de malware zichzelf opnieuw kan installeren wanneer de aanval wordt beëindigd of het systeem opnieuw wordt opgestart.

Dankzij deze functies blijft het systeem onopvallend en toch bestand tegen veelvoorkomende storingen die door de gebruiker of het systeem worden veroorzaakt.

Aanvalsketen gevoed door sociale engineering

De aanval begint met een social engineering-strategie:

  • Slachtoffers worden via platforms als Telegram benaderd en verleid om een Zoom-vergadering in te plannen via Calendly.
  • Ze ontvangen een nep-e-mail met een script voor de Zoom SDK-update, zogenaamd om de compatibiliteit met de videoconferentiesoftware te garanderen.

Dit leidt tot de uitvoering van een kwaadaardig AppleScript, dat een script in de tweede fase downloadt van een externe server en de gebruiker doorverwijst naar een legitieme Zoom-link. Het script in de tweede fase extraheert ZIP-bestanden met:

  • Binaire bestanden voor het tot stand brengen van persistentie
  • Bash-scripts voor het stelen van systeemgegevens

De rol van InjectWithDyldArm64

De kern van het infectieproces wordt gevormd door een C++-loader die bekend staat als InjectWithDyldArm64, of kortweg InjectWithDyld. Dit onderdeel is cruciaal voor het effectief en heimelijk implementeren van de malware. Het begint met het decoderen van twee ingebedde binaire bestanden, één met de naam 'Target' en de andere 'trojan1_arm64'. Na de decodering start het Target-proces in een onderbroken toestand. Wanneer het proces is gepauzeerd, injecteert de loader het binaire bestand trojan1_arm64 erin en hervat vervolgens de uitvoering. Deze methode maakt het mogelijk om de schadelijke payloads zeer discreet te leveren en te activeren, waarbij standaard systeembeveiliging wordt omzeild en de kans op detectie wordt geminimaliseerd.

Diefstal van inloggegevens en systeembewaking

Zodra de malware actief is, maakt hij verbinding met een externe Command-and-Control (C2)-server, waardoor hij verschillende kwaadaardige bewerkingen kan uitvoeren. Dit omvat het verzamelen van gedetailleerde systeeminformatie, het uitvoeren van willekeurige opdrachten die op afstand worden gegeven, het navigeren door verschillende directory's en het terugsturen van de resultaten van deze acties naar de aanvaller.

De dreiging neemt toe met de betrokkenheid van de trojan1_arm64-component, die de aanval versterkt door twee extra payloads uit de C2-infrastructuur op te halen. Deze payloads zijn specifiek ontworpen om gevoelige informatie te verzamelen. Hun primaire doelwitten zijn inloggegevens die zijn opgeslagen in veelgebruikte webbrowsers - Arc, Brave, Chrome, Edge en Firefox - evenals gebruikersgegevens van de Telegram-berichtenapplicatie.

Persistentiemechanismen

Naast de primaire componenten implementeert de malware ook Nim-gebaseerde uitvoerbare bestanden die een module genaamd CoreKitAgent activeren. Deze module speelt een cruciale rol in het waarborgen van de veerkracht van de malware door te controleren op pogingen om de werking ervan te beëindigen. Om de aanwezigheid te behouden, installeert de malware aangepaste signaalhandlers voor SIGINT en SIGTERM, waardoor de malware automatisch opnieuw kan worden opgestart als een gebruiker of beveiligingstool de malware probeert af te sluiten. Dit ingebouwde mechanisme versterkt de persistentie van de malware aanzienlijk.

De aanvallers maken ook uitgebreid gebruik van AppleScript, niet alleen tijdens de initiële infectiefase, maar ook gedurende de gehele werking van de malware voor continue monitoring en controle. Dankzij deze scriptingfunctie verstuurt de malware elke 30 seconden periodieke beacons naar hardgecodeerde C2-servers, exfiltreert details over momenteel actieve processen en voert nieuwe opdrachten uit die door de externe aanvaller worden gegeven.

Waarom Nim malware gevaarlijker maakt

Het gebruik van de programmeertaal Nim biedt aanvallers aanzienlijke voordelen. De mogelijkheid van Nim om functies uit te voeren tijdens het compileren, stelt hen in staat om:

  • Integreer complexe logica die moeilijk te detecteren is
  • Verduister de controlestroom binnen binaire bestanden
  • Vermeng de code van de ontwikkelaar en de runtime, waardoor de analyse aanzienlijk moeilijker wordt

Dit resulteert in compacte, goed functionerende binaire bestanden die minder goed zichtbaar zijn voor traditionele malwaredetectie-engines.

NimDoor herinnert ons er pijnlijk aan dat macOS niet langer immuun is voor geavanceerde, hardnekkige bedreigingen. Nu Noord-Koreaanse hackers dit platform aanvallen met behulp van evoluerende technieken en minder bekende programmeertalen, is het belangrijker dan ooit om geïnformeerd en waakzaam te blijven.

Trending

Meest bekeken

Bezig met laden...