Os cibercriminosos norte-coreanos estão visando empresas de criptografia usando novos estoques que exploram dispositivos da Apple em ataques de vários estágios.
Pesquisadores da empresa de segurança cibernética Sentinel Labs emitiram avisos sobre campanhas que utilizam engenharia social e tecnologias avançadas de sustentabilidade para comprometer o sistema Macau.
O malware chamado “Nimdoor” está escrito na linguagem de programação NIM menos conhecida e pode evitar ferramentas antivírus tradicionais.
De acordo com a Sentinel Labs, os atacantes começarão a entrar em contato com plataformas de mensagens como o Telegram, se passando por indivíduos confiáveis. Nesse caso, as vítimas que se acredita serem funcionários de empresas de blockchain ou web3 serão seduzidas por reuniões de zoom falsas por meio de links de phishing e instruídas a instalar o que parece ser uma atualização diária do Zoom SDK.
Depois de executado, o script de atualização instala vários estágios do malware no dispositivo Mac da vítima. Isso inclui beacons baseados em AppleScript, scripts bash para roubo de direito e binários compilados com NIM e C ++ para persistência e execução de comando remoto.
Um binário é um arquivo de programa independente que executa tarefas específicas em uma cadeia de malware. Um binário, chamado CoreKitagent, usa um mecanismo de persistência baseado em sinal que é executado quando um usuário tenta fechar o malware, permitindo que eles permaneçam ativos mesmo após o reinício do sistema.
A criptomoeda é um alvo importante para as operações. O malware busca especificamente credenciais e dados de aplicativos armazenados em navegadores relacionados às carteiras digitais.
O malware executa scripts projetados para extrair informações de navegadores populares como Chrome, Brave, Edge, Firefox e outros, bem como o gerenciador de senhas de chaveiro da Apple. Outro componente tem como alvo os bancos de dados e arquivos -chave criptografados do Telegram, potencialmente expondo frases de sementes de carteira e chaves privadas trocadas por aplicativos de mensagens.
Gerente de hackers da Coréia do Norte
O Sentinel Labs atribui a campanha aos atores de ameaças alinhados à Coréia do Norte, continuando o padrão de ataques cibernéticos centrados em criptografia pela República Democrática da Coréia.
Grupos de hackers como Lazarus evitam sanções internacionais e há muito direcionam empresas de ativos digitais com base em operações estaduais. As operações anteriores escreveram malware em Go e Rust, mas esta campanha é uma das primeiras principais implantações do NIM contra os alvos do MacOS.
Conforme relatado anteriormente pela Crypto.News, no final de 2023, os pesquisadores observaram outra campanha relacionada à RPDC que implantou malware baseado em Python, conhecido como Kandykorn. Foi distribuído por servidores Discord disfarçados de robôs de arbitragem criptográfica e engenheiros de blockchain direcionados principalmente usando o Maco.
O Sentinel Labs alerta que as suposições de segurança tradicionais sobre macOS não são mais válidas, pois os atores de ameaças adotam cada vez mais linguagens de programação obscuras e técnicas sofisticadas.
Nos últimos meses, vários estoques de malware têm como alvo usuários de Apple, incluindo Sparkkitty, que roubaram frases de sementes através da iOS Photo Gallery e incluem um cavalo de Trojan que substituiu o aplicativo MacOS Wallet por uma versão maliciosa.
