Hackers associados ao estado norte-coreano estão a utilizar uma nova família de malware para macOS, batizada de NimDoor, numa campanha direcionada a organizações do setor das criptomoedas e web3. A análise dos especialistas em cibersegurança revelou técnicas de ataque invulgares e um mecanismo de persistência nunca antes visto, demonstrando uma evolução significativa nas táticas dos atacantes.
Um esquema que começa com uma simples conversa
A cadeia de ataque assemelha-se a outras recentemente associadas ao grupo BlueNoroff. O contacto inicial é feito através do Telegram, onde as vítimas são persuadidas a participar numa chamada. Posteriormente, recebem um convite via Calendly e e-mail que as leva a instalar uma suposta atualização do SDK do Zoom, que na verdade é o veículo para a infeção.
As ferramentas invulgares do NimDoor
Num novo relatório, os investigadores da empresa de cibersegurança SentinelOne explicam que o atacante recorreu a uma combinação de linguagens de programação, como C++ e Nim, para criar os binários maliciosos, uma escolha considerada "mais invulgar" no ecossistema macOS. A operação do NimDoor depende de três componentes principais:
installer: O primeiro binário a ser executado, responsável por preparar o terreno, configurando diretórios e caminhos necessários para a infeção.
GoogIe LLC: Com um nome desenhado para se confundir com processos legítimos da Google, este componente recolhe dados do sistema e cria um ficheiro de configuração. Mais importante, estabelece a persistência no sistema ao criar um LaunchAgent (
com.google.update.plist), garantindo que o malware é reativado sempre que o utilizador inicia sessão.CoreKitAgent: Este é o principal payload e o cérebro da operação. Trata-se de um binário complexo que funciona de forma assíncrona, reagindo a eventos do sistema para executar as suas ações.
Um mecanismo de persistência que se recusa a morrer
A característica mais distintiva e inovadora do NimDoor é o seu mecanismo de persistência baseado em sinais. O malware foi programado para detetar os sinais SIGINT e SIGTERM, que são os comandos que o sistema operativo utiliza para terminar processos. No entanto, em vez de se desligar, o CoreKitAgent utiliza estes sinais como um gatilho para se reinstalar.
Sempre que o utilizador ou um software de defesa tenta terminar o processo malicioso, o malware interceta o comando e aproveita a oportunidade para restaurar a sua própria persistência, reinstalando o binário GoogIe LLC e garantindo que a infeção permanece ativa. Esta tática torna o código extremamente resiliente a ações defensivas básicas.
Roubo de dados em duas frentes distintas
Paralelamente à execução do NimDoor, um script chamado zoom_sdk_support.scpt (que contém mais de 10.000 linhas em branco para dificultar a análise) inicia uma segunda cadeia de infeção. Este processo descarrega dois scripts adicionais focados no roubo de informação:
upl: Este script extrai dados de navegadores de internet, acede ao Keychain (porta-chaves) do macOS e rouba o histórico de comandos das shells
.bash_historye.zsh_history.tlgrm: Focado especificamente na aplicação Telegram, este script tem como objetivo roubar a base de dados da aplicação e as chaves de encriptação, permitindo aos atacantes decifrar as mensagens trocadas pela vítima.
A sofisticação do NimDoor, a sua estrutura modular e a utilização de técnicas inovadoras como a persistência por sinais indicam que os agentes de ameaça norte-coreanos estão a evoluir e a expandir as suas capacidades para atacar múltiplas plataformas, incluindo o ecossistema da Apple.
Nenhum comentário
Seja o primeiro!