Cibercriminosos norte-coreanos têm alvo empresas de criptomoedas usando uma nova variante de malware que explora dispositivos Apple em um ataque de múltiplas etapas.
Os investigadores da empresa de cibersegurança Sentinel Labs emitiram um aviso sobre a campanha, que utiliza engenharia social e técnicas avançadas de persistência para comprometer sistemas macOS.
O malware, denominado "NimDoor", é escrito na menos conhecida linguagem de programação Nim e é capaz de evitar ferramentas tradicionais de antivírus.
De acordo com os Sentinel Labs, os atacantes iniciam contato ao se fazerem passar por indivíduos de confiança em plataformas de mensagens como o Telegram. As vítimas, que neste caso parecem ser funcionários de empresas de blockchain ou Web3, são atraídas para reuniões falsas no Zoom através de links de phishing e são instruídas a instalar o que parece ser uma atualização rotineira do SDK do Zoom.
Uma vez executado, o script de atualização instala múltiplas etapas de malware no dispositivo Mac da vítima. Estes incluem faróis baseados em AppleScript, scripts Bash para roubo de credenciais e binários compilados em Nim e C++ para persistência e execução de comandos remotos.
Os binários são ficheiros de programa independentes que realizam tarefas específicas dentro da cadeia de malware. Um binário, chamado CoreKitAgent, utiliza um mecanismo de persistência baseado em sinais que é executado quando os utilizadores tentam fechar o malware, permitindo que ele permaneça ativo mesmo após a reinicialização do sistema.
As criptomoedas são um alvo chave da operação. O malware procura especificamente credenciais armazenadas no navegador e dados de aplicações relacionados a carteiras digitais.
O malware executa scripts projetados para extrair informações de navegadores populares como Chrome, Brave, Edge e Firefox, bem como do gerenciador de senhas Keychain da Apple. Outro componente visa o banco de dados criptografado e os arquivos de chave do Telegram, podendo expor frases-semente de carteiras e chaves privadas trocadas pelo aplicativo de mensagens.
Hackers norte-coreanos responsáveis
A Sentinel Labs atribuiu a campanha a um ator de ameaça alinhado à Coreia do Norte, continuando um padrão de ciberataques focados em criptomoedas pela República Popular Democrática da Coreia.
Grupos de hackers como o Lazarus têm há muito tempo como alvo as empresas de ativos digitais em esforços para contornar sanções internacionais e financiar operações estatais. Operações anteriores viram malware escrito em Go e Rust, mas esta campanha marca uma das primeiras grandes implementações de Nim contra alvos macOS.
Como relatado anteriormente pelo crypto.news, no final de 2023, pesquisadores observaram outra campanha ligada à RPDC que implementou um malware baseado em Python conhecido como Kandykorn. Ele foi distribuído através de servidores Discord disfarçado como um bot de arbitragem de criptomoedas e teve como alvo principal engenheiros de blockchain que utilizam macOS.
A Sentinel Labs alertou que, à medida que os atores de ameaça adotam cada vez mais linguagens de programação obscuras e técnicas sofisticadas, as suposições tradicionais de segurança em torno do macOS já não são válidas.
Nos últimos meses, várias variantes de malware têm direcionado usuários da Apple, incluindo o SparkKitty, que roubou frases-semente através de galerias de fotos no iOS, e um trojan que substituiu aplicativos de carteira no macOS por uma versão maliciosa.
Ver original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Hackers norte-coreanos visam macOS na mais recente campanha de malware direcionada a empresas de criptomoedas
Cibercriminosos norte-coreanos têm alvo empresas de criptomoedas usando uma nova variante de malware que explora dispositivos Apple em um ataque de múltiplas etapas.
Os investigadores da empresa de cibersegurança Sentinel Labs emitiram um aviso sobre a campanha, que utiliza engenharia social e técnicas avançadas de persistência para comprometer sistemas macOS.
O malware, denominado "NimDoor", é escrito na menos conhecida linguagem de programação Nim e é capaz de evitar ferramentas tradicionais de antivírus.
De acordo com os Sentinel Labs, os atacantes iniciam contato ao se fazerem passar por indivíduos de confiança em plataformas de mensagens como o Telegram. As vítimas, que neste caso parecem ser funcionários de empresas de blockchain ou Web3, são atraídas para reuniões falsas no Zoom através de links de phishing e são instruídas a instalar o que parece ser uma atualização rotineira do SDK do Zoom.
Uma vez executado, o script de atualização instala múltiplas etapas de malware no dispositivo Mac da vítima. Estes incluem faróis baseados em AppleScript, scripts Bash para roubo de credenciais e binários compilados em Nim e C++ para persistência e execução de comandos remotos.
Os binários são ficheiros de programa independentes que realizam tarefas específicas dentro da cadeia de malware. Um binário, chamado CoreKitAgent, utiliza um mecanismo de persistência baseado em sinais que é executado quando os utilizadores tentam fechar o malware, permitindo que ele permaneça ativo mesmo após a reinicialização do sistema.
As criptomoedas são um alvo chave da operação. O malware procura especificamente credenciais armazenadas no navegador e dados de aplicações relacionados a carteiras digitais.
O malware executa scripts projetados para extrair informações de navegadores populares como Chrome, Brave, Edge e Firefox, bem como do gerenciador de senhas Keychain da Apple. Outro componente visa o banco de dados criptografado e os arquivos de chave do Telegram, podendo expor frases-semente de carteiras e chaves privadas trocadas pelo aplicativo de mensagens.
Hackers norte-coreanos responsáveis
A Sentinel Labs atribuiu a campanha a um ator de ameaça alinhado à Coreia do Norte, continuando um padrão de ciberataques focados em criptomoedas pela República Popular Democrática da Coreia.
Grupos de hackers como o Lazarus têm há muito tempo como alvo as empresas de ativos digitais em esforços para contornar sanções internacionais e financiar operações estatais. Operações anteriores viram malware escrito em Go e Rust, mas esta campanha marca uma das primeiras grandes implementações de Nim contra alvos macOS.
Como relatado anteriormente pelo crypto.news, no final de 2023, pesquisadores observaram outra campanha ligada à RPDC que implementou um malware baseado em Python conhecido como Kandykorn. Ele foi distribuído através de servidores Discord disfarçado como um bot de arbitragem de criptomoedas e teve como alvo principal engenheiros de blockchain que utilizam macOS.
A Sentinel Labs alertou que, à medida que os atores de ameaça adotam cada vez mais linguagens de programação obscuras e técnicas sofisticadas, as suposições tradicionais de segurança em torno do macOS já não são válidas.
Nos últimos meses, várias variantes de malware têm direcionado usuários da Apple, incluindo o SparkKitty, que roubou frases-semente através de galerias de fotos no iOS, e um trojan que substituiu aplicativos de carteira no macOS por uma versão maliciosa.