Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware NimDoor

Programe malware NimDoor

Până în Mezo în Programe malware
Tradu in:

Profesioniștii în securitate cibernetică au descoperit o nouă familie de programe malware macOS, numită NimDoor, care reprezintă o amenințare serioasă datorită tehnicilor sale avansate de persistență, mecanismelor de furt de date ascunse și capacităților sofisticate de evitare a atacurilor. Această campanie malware este atribuită unor actori aliniați cu Coreea de Nord care vizează sectoarele Web3 și criptomonede.

Hackerii nord-coreeni se orientează către Nim și macOS

Actorii amenințători suspectați a fi legați de Coreea de Nord utilizează acum limbajul de programare Nim în arsenalul lor de programe malware. Aceasta marchează o evoluție continuă a setului lor de instrumente, campaniile anterioare utilizând limbaje precum Go și Rust. Noua utilizare a limbajului Nim demonstrează o intenție de inovare, în special în crearea de amenințări multiplatformă care sunt dificil de detectat și analizat.

În această campanie, atacatorii vizează în mod specific organizațiile axate pe Web3 și criptomonede, sugerând o operațiune motivată financiar, cu interesul de a perturba sau infiltra infrastructura financiară digitală.

Tehnici macOS extrem de neobișnuite

Ceea ce îl face pe NimDoor deosebit de îngrijorător este abordarea sa neconvențională a infecțiilor cu macOS. În special, folosește:

  • Injecția de procese, o tehnică rară pentru malware-ul macOS, care permite amenințării să deturneze și să manipuleze procese legitime.
  • Canale de comunicație WSS (WebSocket Secure) pentru interacțiuni C2 criptate.
  • O metodă inovatoare de persistență care utilizează gestionarea semnalelor SIGINT și SIGTERM, permițând malware-ului să se reinstaleze la terminare sau la repornirea sistemului.

Aceste caracteristici îi permit să mențină un profil discret și să rămână rezistent la întreruperile obișnuite inițiate de utilizatori sau de sistem.

Lanțul de atac alimentat de inginerie socială

Atacul începe cu o strategie de inginerie socială:

  • Victimele sunt contactate prin intermediul unor platforme precum Telegram și ademenite să programeze o întâlnire Zoom folosind Calendly.
  • Aceștia primesc un e-mail fals cu un script de actualizare a SDK-ului Zoom, chipurile pentru a asigura compatibilitatea cu software-ul de videoconferință.

Aceasta duce la executarea unui AppleScript malițios, care descarcă un script de a doua etapă de pe un server la distanță, redirecționând utilizatorul către un link Zoom legitim. Scriptul de a doua etapă extrage arhive ZIP care conțin:

  • Binare pentru stabilirea persistenței
  • Scripturi Bash pentru furtul datelor de sistem

Rolul InjectWithDyldArm64

În centrul procesului de infectare se află un încărcător C++ cunoscut sub numele de InjectWithDyldArm64 sau, pur și simplu, InjectWithDyld. Această componentă este crucială pentru implementarea eficientă și secretă a malware-ului. Începe prin decriptarea a două fișiere binare încorporate, unul numit „Target” și celălalt „trojan1_arm64”. După decriptare, lansează procesul Target într-o stare suspendată. Cu procesul întrerupt, încărcătorul injectează fișierul binar trojan1_arm64 în acesta și apoi reia execuția. Această metodă permite livrarea și activarea sarcinilor utile rău intenționate într-un mod extrem de discret, ocolind apărarea standard a sistemului și reducând la minimum șansele de detectare.

Furtul de acreditări și supravegherea sistemului

Odată activ, malware-ul stabilește o conexiune cu un server de comandă și control (C2) la distanță, permițându-i să efectueze mai multe operațiuni rău intenționate. Acestea includ colectarea de informații detaliate despre sistem, executarea de comenzi arbitrare emise de la distanță, navigarea prin diferite directoare și transmiterea rezultatelor acestor acțiuni înapoi către atacator.

Amenințarea escaladează odată cu implicarea componentei trojan1_arm64, care amplifică atacul prin recuperarea a încă două sarcini utile din infrastructura C2. Aceste sarcini utile sunt create special pentru a colecta informații sensibile. Țintele lor principale sunt datele de autentificare stocate în browserele web utilizate pe scară largă - Arc, Brave, Chrome, Edge și Firefox, precum și datele utilizatorilor din aplicația de mesagerie Telegram.

Mecanisme de persistență

Dincolo de componentele sale principale, malware-ul implementează și executabile bazate pe Nim care activează un modul cunoscut sub numele de CoreKitAgent. Acest modul joacă un rol esențial în asigurarea rezistenței malware-ului prin monitorizarea oricăror încercări de a-i opri operarea. Pentru a-și menține prezența, instalează gestionare de semnal personalizată pentru SIGINT și SIGTERM, permițându-i să se relanseze automat dacă un utilizator sau un instrument de securitate încearcă să îl oprească. Acest mecanism încorporat consolidează semnificativ persistența malware-ului.

Atacatorii utilizează, de asemenea, pe scară largă AppleScript, valorificându-l nu doar în timpul fazei inițiale de infectare, ci și pe tot parcursul funcționării malware-ului pentru monitorizare și control continuu. Prin intermediul acestei capacități de scripting, malware-ul trimite semnale periodice la fiecare 30 de secunde către servere C2 codificate hard-code, extrage detalii despre procesele care rulează în prezent și execută noi comenzi emise de actorul amenințător la distanță.

De ce Nim face ca programele malware să fie mai periculoase

Utilizarea limbajului de programare Nim oferă atacatorilor avantaje notabile. Capacitatea lui Nim de a executa funcții la momentul compilării le permite să:

  • Încorporează o logică complexă dificil de detectat
  • Obfuscați fluxul de control în fișierele binare
  • Îmbinează codul dezvoltatorului și cel al codului runtime, ceea ce face analiza mult mai dificilă

Acest lucru duce la binare compacte, funcționale, cu vizibilitate redusă pentru motoarele tradiționale de detectare a programelor malware.

NimDoor este o reamintire puternică a faptului că macOS nu mai este imun la amenințările persistente avansate. Având în vedere că actorii nord-coreeni vizează acum această platformă folosind tehnici în continuă evoluție și limbaje de programare mai puțin cunoscute, este mai important ca niciodată să fim informați și vigilenți.

Trending

Cele mai văzute

Se încarcă...