Severokorejští hackeři spustili novou, mimořádně propracovanou kampaň proti firmám z oblasti kryptoměn a Web3, která využívá podvodné pozvánky na Zoom hovory. Malware nazvaný NimDoor analyzovala společnost SentinelLabs a označila jej za nejsofistikovanější macOS útok poslední doby.
Jak NimDoor útočí krok za krokem
Útok začíná cíleným sociálním inženýrstvím. Oběti osloví útočníci přes Telegram a vydávají se za důvěryhodný kontakt. Nabídnou domluvení hovoru přes Calendly a následně zašlou e-mail s falešným odkazem na Zoom a instrukcemi k instalaci údajné aktualizace „Zoom SDK“.
Tento soubor je maskovaný – obsahuje přes 10 000 prázdných řádků, aby se ztížilo odhalení jeho skutečné funkce. Po spuštění nastane složitý sled procesů, který naváže šifrované spojení s command-and-control serverem a aktivuje mechanismy trvalé přítomnosti v systému. Pokud je malware ukončen nebo se Mac restartuje, automaticky se znovu nainstaluje.
Fotogalerie
Malware kombinuje AppleScript, Bash, C++ a jazyk Nim. Právě Nim je pro macOS útoky novinkou – dříve severokorejští hackeři používali spíše Go, Python nebo shell skripty. Bash skripty se pak starají o krádež klíčových dat – od přihlašovacích údajů v Klíčence přes data z prohlížeče až po informace z Telegramu.
Nové techniky a obavy o bezpečnost
SentinelLabs upozorňuje na několik inovací v přístupu útočníků. Malware například využívá procesní injekci a komunikaci přes šifrovaný protokol wss (TLS varianta WebSocketu), což je u macOS hrozeb velmi neobvyklé. Další zajímavostí je mechanismus přetrvání, který se aktivuje při zachycení systémových signálů SIGINT nebo SIGTERM.
Experti varují, že tento útok ukazuje na rostoucí sofistikovanost kybernetických operací zaměřených na krypto sektor. Kombinace méně známých programovacích jazyků a propracované infiltrace dělá z NimDoor jednu z nejnebezpečnějších aktuálních hrozeb pro macOS.
Pokud se chcete dozvědět více, SentinelLabs publikovali kompletní technickou analýzu s ukázkami kódu, hashi a detailními diagramy útoku.
