Attori di minacce legati alla Corea del Nord stanno prendendo di mira aziende legate a Web3 e criptovalute con malware scritto nel linguaggio di programmazione Nim, evidenziando un’evoluzione costante delle loro tattiche.
Un aspetto insolito per il malware su macOS è l’uso di una tecnica di iniezione di processo e comunicazioni remote tramite wss, la versione crittografata TLS del protocollo WebSocket. Un meccanismo di persistenza innovativo sfrutta i gestori di segnali SIGINT/SIGTERM per installare la persistenza quando il malware viene terminato o il sistema riavviato. La società di cybersecurity sta monitorando i componenti del malware sotto il nome di NimDoor. Alcuni aspetti della campagna erano stati precedentemente documentati da Huntabil.IT e successivamente da Huntress e Validin, ma con differenze nei payload distribuiti.
Le catene di attacco coinvolgono tattiche di ingegneria sociale, avvicinando i bersagli su piattaforme di messaggistica come Telegram per programmare una riunione Zoom tramite Calendly, un software di pianificazione appuntamenti. Il bersaglio riceve quindi un’email contenente un presunto link per una riunione Zoom insieme a istruzioni per eseguire uno script di aggiornamento SDK di Zoom per garantire l’esecuzione dell’ultima versione del software di videoconferenza.
Questo passaggio porta all’esecuzione di un AppleScript che funge da veicolo di consegna per uno script di seconda fase da un server remoto, mentre apparentemente reindirizza l’utente a un link di reindirizzamento Zoom legittimo. Lo script appena scaricato scompatta archivi ZIP contenenti binari responsabili dell’impostazione della persistenza e dell’avvio di script bash per il furto di informazioni.
Al centro della sequenza di infezione c’è un loader C++ chiamato InjectWithDyldArm64 (noto anche come InjectWithDyld), che decritta due binari incorporati chiamati Target e trojan1_arm64. InjectWithDyldArm64 avvia Target in uno stato sospeso e inietta nel suo codice il binario di trojan1_arm64, dopodiché l’esecuzione del processo sospeso viene ripresa.
Il malware procede a stabilire una comunicazione con un server remoto e a recuperare comandi che gli consentono di raccogliere informazioni sul sistema, eseguire comandi arbitrari e cambiare o impostare la directory di lavoro corrente. I risultati dell’esecuzione vengono inviati al server.
Trojan1_arm64, da parte sua, è in grado di scaricare altri due payload, dotati di capacità per raccogliere credenziali dai browser web come Arc, Brave, Google Chrome, Microsoft Edge e Mozilla Firefox, oltre a estrarre dati dall’applicazione Telegram.
Come parte degli attacchi viene anche distribuita una raccolta di eseguibili basati su Nim che vengono utilizzati come trampolino di lancio per CoreKitAgent, che monitora i tentativi dell’utente di terminare il processo del malware e garantisce la persistenza. Questo comportamento assicura che qualsiasi terminazione del malware iniziata dall’utente risulti nel dispiegamento dei componenti principali, rendendo il codice resiliente alle azioni difensive di base.
Fonte: The Hackers News
