NimDoor macOS malware
A SentinelOne kutatói felfedtek egy új, rendkívül kifinomult macOS kártevő családot, amelyet NimDoor néven azonosítottak, és amelyet Észak-Koreához kötődő kibertámadók Web3 és kriptovaluta-szektorokat célzó kampányokban használnak. A támadók a Telegramon követik a klasszikus egyszerűnek tűnő, de álcázott módszert, a Calendly-n keresztül Zoom-meghívót küldenek, és ráveszik a célszemélyeket egy hamisított Zoom SDK-frissítés futtatására, amely valójában az első fertőző lépés.
A kártevősorozat több részletben valósul meg, először egy C++-ban telepítő végzi el az alap telepítést, majd két macOS binárist – egyikük GoogIe LLC néven –, valamint a komplex CoreKitAgent modult helyezi el. A CoreKitAgent az operációs rendszer eseménykezelő rendszerét használja, és egy igen figyelemre méltó módszerrel biztosítja a tartós jelenlétet, a jeleket hallgatva önmagát újratelepíti, így nehezen kiirtható.
A harmadik lépésben AppleScript segítségével 30 másodpercenként kapcsolatot létesít a C2 szerverrel és a futó folyamatok listáját is kiszivárogtathatja, valamint távoli parancsokat hajthat végre. A támadás másik ága trojan1_arm64 névre hallgató folyamatot indít, majd Bash és AppleScript szkriptek segítségével kódjelszavakat, böngészőtitkosítási adatokat, valamint Telegram-adatbázisokat lop el.
Technológiai szempontból a Nim nyelv használata újszerű a macOS kártevők között. A SentinelOne szakemberei kiemelik, hogy a Nim fordítási idejű trükközése lehetővé teszi az elemzők számára rejtett viselkedés beágyazását a binárisba, nehezítve a visszafejtést. Emellett a wss protokoll használata és a signal-alapú mechanizmusok mind újabb rétegei a Nyugatban szokatlan, fejlett technikáknak.
Az egész támadáslánc jellegzetesen moduláris, az első szakaszban telepítő fájlok, majd két párhuzamos támadó ág indul el – az egyik biztosítja az állandó jelenlétet, a másik adatlopó tevékenységet végez. A támadás üzleti és Web3 szervezetekre fókuszál, különösen kriptotárcák és a Telegram használói körében.
