Malware NimDoor
Profissionais de segurança cibernética descobriram uma nova e furtiva família de malware para macOS, chamada NimDoor, que representa uma séria ameaça devido às suas técnicas avançadas de persistência, mecanismos furtivos de roubo de dados e sofisticadas capacidades de evasão. Essa campanha maliciosa é atribuída a agentes de ameaças alinhados à Coreia do Norte, que têm como alvo os setores da Web3 e de criptomoedas.
Índice
Hackers norte-coreanos migram para o Nim e o macOS
Agentes de ameaças suspeitos de estarem ligados à Coreia do Norte agora utilizam a linguagem de programação Nim em seu arsenal de malware. Isso marca uma evolução contínua em seu conjunto de ferramentas, com campanhas anteriores utilizando linguagens como Go e Rust. O novo uso do Nim demonstra a intenção de inovar, especialmente na criação de ameaças multiplataforma que são difíceis de detectar e analisar.
Nesta campanha, os invasores visam especificamente organizações focadas em Web3 e criptomoedas, sugerindo uma operação com motivação financeira e interesse em interromper ou infiltrar a infraestrutura de finanças digitais.
Técnicas altamente incomuns do macOS
O que torna o NimDoor particularmente preocupante é sua abordagem não convencional à infecção por macOS. Mais notavelmente, ele utiliza:
- Injeção de processo, uma técnica rara para malware macOS, que permite que a ameaça sequestre e manipule processos legítimos.
- Canais de comunicação WSS (WebSocket Secure) para interações C2 criptografadas.
- Um novo método de persistência que aproveita os manipuladores de sinais SIGINT e SIGTERM, permitindo que o malware se reinstale quando encerrado ou na reinicialização do sistema.
Esses recursos permitem que ele mantenha um perfil discreto e permaneça resiliente contra interrupções comuns iniciadas pelo usuário ou pelo sistema.
Cadeia de Ataque Alimentada por Engenharia Social
O ataque começa com uma estratégia de engenharia social:
- As vítimas são contatadas por meio de plataformas como o Telegram e induzidas a agendar uma reunião no Zoom usando o Calendly.
- Eles recebem um e-mail falso com um script de atualização do Zoom SDK, supostamente para garantir a compatibilidade com o software de videoconferência.
Isso leva à execução de um AppleScript malicioso, que baixa um script de segundo estágio de um servidor remoto enquanto redireciona o usuário para um link legítimo do Zoom. O script de segundo estágio extrai arquivos ZIP contendo:
- Binários para estabelecer persistência
- Scripts Bash para roubar dados do sistema
O papel do InjectWithDyldArm64
No centro do processo de infecção está um carregador C++ conhecido como InjectWithDyldArm64, ou simplesmente InjectWithDyld. Este componente é crucial para a implantação eficaz e secreta do malware. Ele começa descriptografando dois binários incorporados, um denominado "Target" e o outro "trojan1_arm64". Após a descriptografia, ele inicia o processo Target em estado suspenso. Com o processo pausado, o carregador injeta o binário trojan1_arm64 nele e então retoma a execução. Este método permite que as cargas maliciosas sejam entregues e ativadas de forma altamente furtiva, contornando as defesas padrão do sistema e minimizando a chance de detecção.
Roubo de credenciais e vigilância do sistema
Uma vez ativo, o malware estabelece uma conexão com um servidor remoto de Comando e Controle (C2), permitindo-lhe realizar diversas operações maliciosas, incluindo a coleta de informações detalhadas do sistema, a execução de comandos arbitrários emitidos remotamente, a navegação por diferentes diretórios e a transmissão dos resultados dessas ações ao invasor.
A ameaça se intensifica com o envolvimento do componente trojan1_arm64, que potencializa o ataque ao recuperar mais dois payloads da infraestrutura C2. Esses payloads são criados especificamente para coletar informações confidenciais. Seus principais alvos são credenciais de login armazenadas em navegadores amplamente utilizados – Arc, Brave, Chrome, Edge e Firefox –, bem como dados de usuários do aplicativo de mensagens Telegram.
Mecanismos de Persistência
Além de seus componentes primários, o malware também implanta executáveis baseados em Nim que ativam um módulo conhecido como CoreKitAgent. Este módulo desempenha um papel fundamental na garantia da resiliência do malware, monitorando quaisquer tentativas de interromper sua operação. Para manter sua presença, ele instala manipuladores de sinal personalizados para SIGINT e SIGTERM, permitindo que ele seja reiniciado automaticamente caso um usuário ou ferramenta de segurança tente desativá-lo. Esse mecanismo integrado fortalece significativamente a persistência do malware.
Os invasores também fazem uso extensivo do AppleScript, utilizando-o não apenas durante a fase inicial da infecção, mas também durante toda a operação do malware para monitoramento e controle contínuos. Por meio desse recurso de script, o malware envia beacons periódicos a cada 30 segundos para servidores C2 codificados, extrai detalhes sobre processos em execução e executa novos comandos emitidos pelo agente remoto da ameaça.
Por que o Nim torna o malware mais perigoso
O uso da linguagem de programação Nim oferece vantagens notáveis aos invasores. A capacidade do Nim de executar funções em tempo de compilação permite:
- Incorpore lógica complexa que é difícil de detectar
- Ofuscar o fluxo de controle dentro de binários
- Misture o código do desenvolvedor e o código de tempo de execução, tornando a análise significativamente mais difícil
Isso leva a binários compactos e de alto desempenho, com visibilidade reduzida para mecanismos tradicionais de detecção de malware.
O NimDoor é um lembrete claro de que o macOS não é mais imune a ameaças persistentes avançadas. Com agentes norte-coreanos agora mirando essa plataforma usando técnicas em evolução e linguagens de programação menos conhecidas, manter-se informado e vigilante é mais crucial do que nunca.
