Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware NimDoor Malware

NimDoor Malware

Nga MezoMalware
Përkthe në:

Profesionistët e sigurisë kibernetike kanë zbuluar një familje të re dhe të fshehtë programesh keqdashëse për macOS të quajtur NimDoor, e cila përbën një kërcënim serioz për shkak të teknikave të saj të përparuara të këmbënguljes, mekanizmave të fshehtë të vjedhjes së të dhënave dhe aftësive të sofistikuara të shmangies. Kjo fushatë keqdashëse i atribuohet aktorëve kërcënues të lidhur me Korenë e Veriut që synojnë sektorët Web3 dhe kriptomonedhave.

Hakerët e Koresë së Veriut kalojnë te Nim dhe macOS

Aktorët kërcënues që dyshohet se janë të lidhur me Korenë e Veriut tani po përdorin gjuhën e programimit Nim në arsenalin e tyre të programeve keqdashëse. Kjo shënon një evolucion të vazhdueshëm në mjetet e tyre, me fushatat e mëparshme që përdorin gjuhë si Go dhe Rust. Përdorimi i ri i Nim tregon një qëllim për të inovuar, veçanërisht në krijimin e kërcënimeve ndërplatformore që janë të vështira për t'u zbuluar dhe analizuar.

Në këtë fushatë, sulmuesit synojnë posaçërisht organizatat e fokusuara në Web3 dhe kriptomonedha, duke sugjeruar një operacion të motivuar financiarisht me interes në prishjen ose infiltrimin e infrastrukturës së financave dixhitale.

Teknika shumë të pazakonta të macOS

Ajo që e bën NimDoor veçanërisht shqetësuese është qasja e tij jokonvencionale ndaj infeksionit macOS. Më e rëndësishmja, ai përdor:

  • Injektimi i procesit, një teknikë e rrallë për malware-in macOS, që i lejon kërcënimit të rrëmbejë dhe manipulojë procese legjitime.
  • Kanalet e komunikimit WSS (WebSocket Secure) për ndërveprimet e enkriptuara C2.
  • Një metodë e re e këmbënguljes që shfrytëzon trajtuesit e sinjaleve SIGINT dhe SIGTERM, duke i lejuar programit keqdashës të riinstalohet kur të ndërpritet ose pas rinisjes së sistemit.

Këto karakteristika i mundësojnë asaj të ruajë një profil të ulët dhe të mbetet rezistent ndaj ndërprerjeve të zakonshme të iniciuara nga përdoruesi ose sistemi.

Zinxhiri i Sulmeve i Ushqyer nga Inxhinieria Sociale

Sulmi fillon me një strategji të inxhinierisë sociale:

  • Viktimat kontaktohen nëpërmjet platformave si Telegram dhe joshen të caktojnë një takim në Zoom duke përdorur Calendly.
  • Ata marrin një email të rremë me një skript përditësimi të Zoom SDK, me sa duket për të siguruar përputhshmërinë me softuerin e videokonferencave.

Kjo çon në ekzekutimin e një AppleScript keqdashës, i cili shkarkon një skript të fazës së dytë nga një server i largët ndërsa e ridrejton përdoruesin në një lidhje legjitime të Zoom. Skripti i fazës së dytë nxjerr arkivat ZIP që përmbajnë:

  • Binarë për vendosjen e qëndrueshmërisë
  • Skripte Bash për vjedhjen e të dhënave të sistemit

Roli i InjectWithDyldArm64

Në zemër të procesit të infektimit është një ngarkues C++ i njohur si InjectWithDyldArm64, ose thjesht InjectWithDyld. Ky komponent është thelbësor për vendosjen e malware-it në mënyrë efektive dhe të fshehtë. Ai fillon duke deshifruar dy skedarë binare të integruar, njëri i quajtur 'Target' dhe tjetri 'trojan1_arm64'. Pas deshifrimit, ai vazhdon me nisjen e procesit Target në një gjendje të pezulluar. Me procesin e ndaluar, ngarkuesi injekton skedarin binar trojan1_arm64 në të dhe më pas rifillon ekzekutimin. Kjo metodë lejon që ngarkesat keqdashëse të dorëzohen dhe aktivizohen në një mënyrë shumë të fshehtë, duke anashkaluar mbrojtjet standarde të sistemit dhe duke minimizuar mundësinë e zbulimit.

Vjedhja e kredencialeve dhe mbikëqyrja e sistemit

Pasi aktivizohet, programi keqdashës krijon një lidhje me një server të largët Command-and-Control (C2), duke i lejuar atij të kryejë disa operacione keqdashëse. Këto përfshijnë mbledhjen e informacionit të detajuar të sistemit, ekzekutimin e komandave arbitrare të lëshuara nga distanca, lundrimin nëpër drejtori të ndryshme dhe transmetimin e rezultateve të këtyre veprimeve përsëri te sulmuesi.

Kërcënimi përshkallëzohet me përfshirjen e komponentit trojan1_arm64, i cili e përforcon sulmin duke rikuperuar dy ngarkesa të tjera nga infrastruktura C2. Këto ngarkesa janë krijuar posaçërisht për të mbledhur informacione të ndjeshme. Synimet e tyre kryesore janë kredencialet e hyrjes të ruajtura në shfletuesit e internetit të përdorur gjerësisht - Arc, Brave, Chrome, Edge dhe Firefox, si dhe të dhënat e përdoruesit nga aplikacioni i mesazheve Telegram.

Mekanizmat e Qëndrueshmërisë

Përtej komponentëve të tij kryesorë, malware gjithashtu vendos ekzekutues të bazuar në Nim që aktivizojnë një modul të njohur si CoreKitAgent. Ky modul luan një rol kritik në sigurimin e qëndrueshmërisë së malware duke monitoruar çdo përpjekje për të ndërprerë funksionimin e tij. Për të ruajtur praninë e tij, ai instalon trajtues sinjalesh të personalizuara për SIGINT dhe SIGTERM, duke i lejuar atij të riniset automatikisht nëse një përdorues ose mjet sigurie përpiqet ta fikë atë. Ky mekanizëm i integruar forcon ndjeshëm qëndrueshmërinë e malware.

Sulmuesit gjithashtu përdorin gjerësisht AppleScript, duke e shfrytëzuar atë jo vetëm gjatë fazës fillestare të infeksionit, por edhe gjatë gjithë funksionimit të malware-it për monitorim dhe kontroll të vazhdueshëm. Përmes kësaj aftësie skriptimi, malware dërgon sinjale periodike çdo 30 sekonda në serverat C2 të koduar fort, nxjerr detaje rreth proceseve që janë aktualisht në funksion dhe kryen komanda të reja të lëshuara nga aktori kërcënues në distancë.

Pse Nim e bën malware-in më të rrezikshëm

Përdorimi i gjuhës së programimit Nim u jep sulmuesve avantazhe të dukshme. Aftësia e Nim për të ekzekutuar funksione në kohën e kompajlimit u lejon atyre të:

  • Vendosni logjikë komplekse që është e vështirë për t'u zbuluar
  • Ngatërroni rrjedhën e kontrollit brenda binarëve
  • Përzieni kodin e zhvilluesit dhe atë të kohës së ekzekutimit, duke e bërë analizën dukshëm më të vështirë.

Kjo çon në skedarë binare kompaktë dhe me funksionim të lartë me dukshmëri të reduktuar për motorët tradicionalë të zbulimit të malware-it.

NimDoor është një kujtesë e fortë se macOS nuk është më imun ndaj kërcënimeve të vazhdueshme dhe të avancuara. Me aktorët e Koresë së Veriut që tani e synojnë këtë platformë duke përdorur teknika në zhvillim dhe gjuhë programimi më pak të njohura, të qëndrosh i informuar dhe vigjilent është më kritik se kurrë.

Në trend

Më e shikuara

Po ngarkohet...