Kampanye Serangan Siber Baru dari Hacker Korea Utara
Hacker dari Korea Utara telah meluncurkan kampanye serangan siber baru yang menargetkan perusahaan cryptocurrency dengan menggunakan varian malware canggih yang dikenal sebagai NimDoor. Malware ini dirancang untuk menyusup ke perangkat Apple dan melewati perlindungan memori bawaan untuk mengekstrak data sensitif dari dompet cryptocurrency dan browser.
Taktik Serangan
Serangan ini dimulai dengan taktik rekayasa sosial di platform seperti Telegram, di mana para hacker berpura-pura menjadi kontak tepercaya untuk mengajak korban berdiskusi. Mereka kemudian mengundang target ke pertemuan Zoom palsu yang disamarkan sebagai sesi Google Meet, dan mengirimkan file yang meniru pembaruan Zoom yang sah. File ini berfungsi sebagai metode pengiriman untuk muatan berbahaya.
Proses Infeksi
Setelah dieksekusi, malware ini menginstal NimDoor di perangkat korban, yang kemudian mulai mengumpulkan informasi sensitif, khususnya menargetkan dompet cryptocurrency dan kredensial browser yang tersimpan. Peneliti dari perusahaan keamanan siber SentinelLabs menemukan taktik baru ini dan mencatat bahwa penggunaan bahasa pemrograman Nim membedakan malware ini. Biner yang dikompilasi dengan Nim jarang terlihat menargetkan macOS, sehingga membuat malware ini kurang dikenali oleh alat keamanan konvensional dan berpotensi lebih sulit untuk dianalisis dan dideteksi.
Pergeseran Strategis dalam Penggunaan Bahasa Pemrograman
Para peneliti mengamati bahwa aktor ancaman dari Korea Utara sebelumnya telah bereksperimen dengan bahasa pemrograman seperti Go dan Rust, tetapi pergeseran menuju Nim mencerminkan keuntungan strategis karena kemampuannya yang lintas platform. Ini memungkinkan basis kode yang sama untuk dijalankan di Windows, Linux, dan macOS tanpa modifikasi, sehingga meningkatkan efisiensi dan jangkauan serangan mereka.
Komponen Berbahaya dalam Malware
Muatan berbahaya ini mencakup komponen pencuri kredensial yang dirancang untuk secara diam-diam mengumpulkan data tingkat browser dan sistem, mengemas informasi tersebut, dan mengirimkannya kepada penyerang. Selain itu, para peneliti juga mengidentifikasi skrip dalam malware yang menargetkan Telegram dengan mengekstrak baik basis data lokal terenkripsi maupun kunci dekripsi yang sesuai. Secara mencolok, malware ini menggunakan mekanisme aktivasi tertunda, menunggu sepuluh menit sebelum menjalankan operasinya dalam upaya yang jelas untuk menghindari pemindai keamanan.
