Los piratas de Corea del Norte tienen el origen de una nueva campaña de macOS de malware inusualmente sofisticados que se dirige a la industria criptográfica utilizando invitaciones falsas para Zoom. Así es como funciona.
Apodado «Nimdoor» por los investigadores para SentinellabsEl ataque es más sofisticado que la amenaza de macOS típica, y escribe juntos, Bash, C ++ y NIM para exfiltrar datos y mantener el acceso a los sistemas de compromiso.
Aquí está Sentinellabs‘Resumen de hack:
- Los actores de amenaza de RPDC usan binarios compilados por NIM y varios canales de ataque en una campaña dirigida a empresas relacionadas con la Web 3 y vinculadas a cripto.
- Inusualmente para el malware de MacOS, las partes interesadas de amenazas utilizan una técnica de inyección de proceso y comunicaciones remotas a través de WSS, la versión TLS cifrada del Protocolo WebSocket.
- Un nuevo mecanismo de persistencia aprovecha los administradores de señales de señal / signo para instalar la persistencia cuando el malware está terminado o el sistema se reinicia.
- Los actores de la amenaza implementan descripciones en gran medida de las manzanas, tanto para obtener acceso inicial como más tarde en la cadena de ataque para operar como etiquetas de luz y vagabundeos.
- Los scripts bash se utilizan para exfiltrar la información de identificación de clave, los datos del navegador y los datos del usuario de Telegram.
- El análisis de Sentinellabs destaca los nuevos TTP y los artefactos del software malicioso que une los componentes informados anteriormente, extendiendo nuestra comprensión del libro de juegos en evolución de los actores de la amenaza.
Cómo funciona realmente, en una palabra
Gracias a la ingeniería social, las víctimas se acercan a través del telegrama por alguien que usurpó la identidad de un contacto de la confianza. Están invitados a planificar una llamada a través de Calendly, luego se envían un correo electrónico de seguimiento que contiene un enlace de zoom falso e instrucciones para ejecutar una falsa «Actualización de zoom SDK». Sentinellabs Dijo que el archivo «está fuertemente acolchado, que contiene 10,000 líneas de espacio para oscurecer su función real».
Cuando se ejecuta, desencadena una serie compleja de eventos que establecen una conexión encriptada con un servidor de control y control. También incluye la lógica de copia de seguridad que restablece los componentes clave si el sistema se reinicia o si el proceso de software malicioso está terminado.
Una vez que todos los binarios de la piratería y los mecanismos de persistencia están en su lugar, el malware utiliza scripts bash para raspar y exfiltrar información de identificación y datos confidenciales. Esto incluye información de identificación de Trousseau, datos del navegador y datos de telegrama.
La técnica completa de la buceo profundo vale la pena echarle un vistazo
Si desea sumergirse más profundamente en la gran cantidad de la operación del hack, el Sentinellabs informe Incluye listas de hash completas, extractos de código, capturas de pantalla y diagramas de flujo de ataque, así como ventilación mucho más detallada de cada paso, la falsa actualización del zoom a la exfiltración de los datos finales.
Los investigadores también señalan que Nimdoor refleja un cambio más amplio hacia lenguajes multiplataforma más complejos y menos familiares en el malware de macOS, pasando más allá del GO, Python y Shell Script que los actores de amenaza de Corea del Norte han usado generalmente en el pasado.
¿Este tipo de piratería te asusta? ¿Crees que estos trucos están fuera de proporción? Háganos saber en los comentarios.
Ofertas de accesorios en Amazon
- Anker 25,000máh Power Bank, 100W, USB-C: $ 119.99
- Cargador plegable plegable plegable, 15W, Qi2: Reducción del 20%, a $ 71.99
- AirPods Pro 2: Reducción del 20%, a $ 199.00
- Airtag, 4 paquete: 24% de reducción, a $ 74.99
- HomeKit Smart Plug, 15a, 4 paquete: 20% de reducción, a $ 34.99
FTC: utilizamos enlaces de afiliación de ingresos automáticos. Más.
