NimDoor злонамерни софтвер

Стручњаци за сајбер безбедност открили су нову и прикривену породицу злонамерних програма за macOS названу NimDoor, која представља озбиљну претњу због својих напредних техника истрајности, прикривених механизама крађе података и софистицираних могућности избегавања. Ова злонамерна кампања приписује се актерима претњи повезаним са Северном Корејом који циљају секторе Web3 и криптовалута.

Севернокорејски хакери се окрећу ка Ниму и macOS-у

Претње за које се сумња да су повезане са Северном Корејом сада користе програмски језик Nim у свом арсеналу злонамерног софтвера. Ово означава континуирану еволуцију њиховог алата, при чему су претходне кампање користиле језике попут Go и Rust. Нова употреба Nim-а показује намеру за иновацијама, посебно у креирању претњи на више платформи које је тешко открити и анализирати.

У овој кампањи, нападачи се посебно баве организацијама фокусираним на Web3 и криптовалуте, што сугерише финансијски мотивисану операцију са интересом да поремети или инфилтрира дигиталну финансијску инфраструктуру.

Веома необичне технике за macOS

Оно што NimDoor чини посебно забрињавајућим је његов неконвенционалан приступ инфекцији macOS-а. Најзначајније је да користи:

• Убризгавање процеса, ретка техника за macOS малвер, омогућава претњи да отме и манипулише легитимним процесима.
• WSS (WebSocket Secure) комуникациони канали за шифроване C2 интеракције.
• Нови метод перзистентности који користи SIGINT и SIGTERM сигналне обрађиваче, омогућавајући злонамерном софтверу да се поново инсталира када се систем искључи или поново инсталира.

Ове карактеристике му омогућавају да остане неприметан и отпоран на уобичајене прекиде које покрећу корисници или систем.

Ланац напада подстакнут друштвеним инжењерингом

Напад почиње стратегијом социјалног инжењеринга:

• Жртве се контактирају путем платформи попут Телеграма и намамљују се да закажу састанак на Зуму користећи Календли.
• Добијају лажни имејл са скриптом за ажурирање Zoom SDK-а, наводно како би се осигурала компатибилност са софтвером за видеоконференције.

Ово доводи до извршавања злонамерног AppleScript-а, који преузима скрипту друге фазе са удаљеног сервера док преусмерава корисника на легитимни Zoom линк. Скрипта друге фазе распакује ZIP архиве које садрже:

• Бинарни фајлови за успостављање перзистентности
• Баш скрипте за крађу системских података

Улога InjectWithDyldArm64

У сржи процеса инфекције је C++ учитавач познат као InjectWithDyldArm64, или једноставно InjectWithDyld. Ова компонента је кључна за ефикасно и прикривено распоређивање злонамерног софтвера. Почиње дешифровањем две уграђене бинарне датотеке, једне под називом „Target“ и друге „trojan1_arm64“. Након дешифровања, наставља са покретањем процеса Target у суспендованом стању. Док је процес паузиран, учитавач убризгава бинарну датотеку trojan1_arm64 у њега, а затим наставља са извршавањем. Ова метода омогућава да се злонамерни корисни терет испоручи и активира на веома прикривен начин, заобилазећи стандардну системску одбрану и минимизирајући шансе за откривање.

Крађа акредитива и надзор система

Једном активан, злонамерни софтвер успоставља везу са удаљеним командним и контролним (C2) сервером, што му омогућава да изврши неколико злонамерних операција. То укључује прикупљање детаљних системских информација, извршавање произвољних команди издатих даљински, навигацију кроз различите директоријуме и преношење резултата ових акција назад нападачу.

Претња ескалира учешћем компоненте trojan1_arm64, која појачава напад преузимањем још два корисна терета из C2 инфраструктуре. Ови корисни текови су посебно направљени за прикупљање осетљивих информација. Њихове примарне мете су подаци за пријаву сачувани у широко коришћеним веб прегледачима - Arc, Brave, Chrome, Edge и Firefox, као и кориснички подаци из апликације за размену порука Telegram.

Механизми перзистенције

Поред својих примарних компоненти, злонамерни софтвер такође користи извршне датотеке засноване на Nim-у које активирају модул познат као CoreKitAgent. Овај модул игра кључну улогу у обезбеђивању отпорности злонамерног софтвера праћењем свих покушаја прекида његовог рада. Да би одржао своје присуство, инсталира прилагођене програме за руковање сигналима за SIGINT и SIGTERM, што му омогућава да се аутоматски поново покрене ако корисник или безбедносни алат покушају да га искључе. Овај уграђени механизам значајно јача постојаност злонамерног софтвера.

Нападачи такође интензивно користе AppleScript, користећи га не само током почетне фазе инфекције већ и током целог рада малвера за континуирано праћење и контролу. Путем ове могућности скриптовања, малвер шаље периодичне сигнале сваких 30 секунди на чврсто кодиране C2 сервере, извлачи детаље о тренутно покренутим процесима и извршава нове команде које издаје удаљени актер претње.

Зашто Ним чини злонамерни софтвер опаснијим

Употреба програмског језика Nim даје нападачима значајне предности. Nim-ова способност да извршава функције током компајлирања им омогућава да:

• Уградите сложену логику коју је тешко открити
• Замагљивање тока контроле унутар бинарних датотека
• Мешање програмерског и извршног кода, што знатно отежава анализу

То доводи до компактних, високофункционалних бинарних датотека са смањеном видљивошћу за традиционалне системе за детекцију злонамерног софтвера.

НимДоор је оштар подсетник да macOS више није имун на напредне, сталне претње. С обзиром на то да севернокорејски актери сада циљају ову платформу користећи технике које се развијају и мање познате програмске језике, информисаност и будност су важнији него икад.