Rabattoffert för flera licenser
Hotdatabas Skadlig programvara NimDoor-skadlig programvara

NimDoor-skadlig programvara

Med Mezo år Skadlig programvara
Översätt till:

Cybersäkerhetsexperter har upptäckt en ny och smygande macOS-familj med namnet NimDoor, som utgör ett allvarligt hot på grund av sina avancerade persistenstekniker, smygande datastöldmekanismer och sofistikerade undvikningsmöjligheter. Denna skadliga kampanj tillskrivs nordkoreanskt allierade hotaktörer som riktar in sig på Web3- och kryptovalutasektorerna.

Nordkoreanska hackare övergår till Nim och macOS

Hotaktörer som misstänks ha kopplingar till Nordkorea använder nu programmeringsspråket Nim i sin arsenal av skadlig kod. Detta markerar en pågående utveckling av deras verktygslåda, där tidigare kampanjer använt språk som Go och Rust. Den nya användningen av Nim visar en avsikt att förnya sig, särskilt när det gäller att skapa plattformsoberoende hot som är svåra att upptäcka och analysera.

I den här kampanjen attackerar angriparna specifikt Web3 och kryptovalutafokuserade organisationer, vilket tyder på en ekonomiskt motiverad operation med intresse av att störa eller infiltrera digital finansinfrastruktur.

Mycket ovanliga macOS-tekniker

Det som gör NimDoor särskilt oroande är dess okonventionella tillvägagångssätt mot macOS-infektion. Framför allt använder den:

  • Processinjektion, en sällsynt teknik för macOS-skadlig programvara, som gör det möjligt för hotet att kapa och manipulera legitima processer.
  • WSS (WebSocket Secure) kommunikationskanaler för krypterade C2-interaktioner.
  • En ny persistensmetod som utnyttjar SIGINT- och SIGTERM-signalhanterare, vilket gör att skadlig programvara kan installera om sig själv när den avslutas eller vid systemomstart.

Dessa funktioner gör att den kan bibehålla en låg profil och förbli motståndskraftig mot vanliga användar- eller systeminitierade störningar.

Social Engineering-driven attackkedja

Attacken börjar med en social ingenjörskonststrategi:

  • Offren kontaktas via plattformar som Telegram och lockas att schemalägga ett Zoom-möte med hjälp av Calendly.
  • De får ett falskt e-postmeddelande med ett uppdateringsskript för Zoom SDK, påstås för att säkerställa kompatibilitet med videokonferensprogramvaran.

Detta leder till att ett skadligt AppleScript-skript körs, vilket laddar ner ett andrastegsskript från en fjärrserver samtidigt som användaren omdirigeras till en legitim Zoom-länk. Det andra stegsskriptet extraherar ZIP-arkiv som innehåller:

  • Binärfiler för att etablera persistens
  • Bash-skript för att stjäla systemdata

InjectWithDyldArm64s roll

I hjärtat av infektionsprocessen finns en C++-laddare som kallas InjectWithDyldArm64, eller helt enkelt InjectWithDyld. Denna komponent är avgörande för att effektivt och i hemlighet distribuera skadlig programvara. Den börjar med att dekryptera två inbäddade binärfiler, en med namnet "Target" och den andra "trojan1_arm64". Efter dekrypteringen fortsätter den att starta Target-processen i pausat tillstånd. När processen är pausad injicerar laddaren binärfilen trojan1_arm64 i den och återupptar sedan körningen. Denna metod gör att de skadliga nyttolasten kan levereras och aktiveras på ett mycket smygande sätt, vilket kringgår standardsystemförsvar och minimerar risken för upptäckt.

Stöld av autentiseringsuppgifter och systemövervakning

När den skadliga programvaran är aktiv upprättar den en anslutning till en fjärrserver (C2), vilket gör att den kan utföra flera skadliga operationer. Dessa inkluderar att samla in detaljerad systeminformation, utföra godtyckliga kommandon som utfärdats på distans, navigera genom olika kataloger och överföra resultaten av dessa åtgärder tillbaka till angriparen.

Hotet eskalerar med inblandning av trojan1_arm64-komponenten, som förstärker attacken genom att hämta ytterligare två nyttolaster från C2-infrastrukturen. Dessa nyttolaster är specifikt utformade för att samla in känslig information. Deras primära mål är inloggningsuppgifter lagrade i flitigt använda webbläsare - Arc, Brave, Chrome, Edge och Firefox, samt användardata från meddelandeprogrammet Telegram.

Persistensmekanismer

Utöver sina primära komponenter använder den skadliga programvaran även Nim-baserade körbara filer som aktiverar en modul som kallas CoreKitAgent. Denna modul spelar en avgörande roll för att säkerställa den skadliga programvarans motståndskraft genom att övervaka eventuella försök att avsluta dess drift. För att bibehålla sin närvaro installerar den anpassade signalhanterare för SIGINT och SIGTERM, vilket gör att den automatiskt kan starta om om en användare eller ett säkerhetsverktyg försöker stänga av den. Denna inbyggda mekanism stärker den skadliga programvarans beständighet avsevärt.

Angriparna använder även AppleScript i stor utsträckning, inte bara under den initiala infektionsfasen utan även under hela skadlig programvarans drift för kontinuerlig övervakning och kontroll. Genom denna skriptfunktion skickar skadlig programvara ut periodiska beacons var 30:e sekund till hårdkodade C2-servrar, extraherar information om processer som körs och utför nya kommandon som utfärdats av den fjärranslutna hotaktören.

Varför Nim gör skadlig programvara farligare

Användningen av programmeringsspråket Nim ger angriparna betydande fördelar. Nims förmåga att köra funktioner vid kompileringstid gör att de kan:

  • Bädda in komplex logik som är svår att upptäcka
  • Obfuskatera kontrollflödet inom binärfiler
  • Blanda utvecklar- och runtime-kod, vilket gör analysen betydligt svårare

Detta leder till kompakta, välfungerande binärfiler med minskad synlighet för traditionella motorer för att upptäcka skadlig kod.

NimDoor är en tydlig påminnelse om att macOS inte längre är immun mot avancerade, ihållande hot. Med nordkoreanska aktörer som nu riktar in sig på denna plattform med hjälp av föränderliga tekniker och mindre kända programmeringsspråk är det viktigare än någonsin att vara informerad och vaksam.

Trendigt

Mest sedda

Läser in...