Cyberattack mula sa North Korea
Ang mga hacker mula sa North Korea ay naglunsad ng isang bagong kampanya ng cyberattack na nakatuon sa mga kumpanya ng cryptocurrency gamit ang isang sopistikadong strain ng malware na kilala bilang NimDoor.
Paano Nagaganap ang Atake
Ang malware na ito ay dinisenyo upang makapasok sa mga Apple device, nilalampasan ang mga nakabuilt-in na proteksyon sa memorya upang kunin ang sensitibong data mula sa mga crypto wallet at browser. Ang atake ay nagsisimula sa mga taktika ng social engineering sa mga platform tulad ng Telegram, kung saan ang mga hacker ay nagpapanggap bilang mga pinagkakatiwalaang kontak upang makipag-ugnayan sa mga biktima.
Ang Pekeng Zoom Meeting
Pagkatapos, inaanyayahan nila ang target sa isang pekeng Zoom meeting, na nakatago bilang isang Google Meet session, at nagpapadala ng isang file na ginagaya ang isang lehitimong update ng Zoom. Ang file na ito ay nagsisilbing paraan ng paghahatid para sa nakakapinsalang payload.
Pag-install ng NimDoor
Kapag na-execute, ang malware ay nag-iinstall ng NimDoor sa device ng biktima, na nag-uumpisa upang mangolekta ng sensitibong impormasyon, partikular na nakatuon sa mga cryptocurrency wallet at mga naka-imbak na kredensyal ng browser.
Natuklasan ng mga Mananaliksik
Natutunan ng mga mananaliksik mula sa cybersecurity firm na SentinelLabs ang bagong taktika na ito, na binibigyang-diin na ang paggamit ng Nim programming language ay nagtatangi sa malware na ito. Ang mga Nim-compiled binaries ay bihirang makita na nakatuon sa macOS, na ginagawang hindi gaanong nakikilala ng mga karaniwang security tools at maaaring mas mahirap suriin at matukoy.
Strategic Advantage ng Nim
Napansin ng mga mananaliksik na ang mga banta mula sa North Korea ay dati nang nag-eksperimento sa mga programming languages tulad ng Go at Rust, ngunit ang paglipat patungo sa Nim ay nagpapakita ng isang estratehikong bentahe dahil sa kakayahan nitong tumakbo sa iba’t ibang platform. Ito ay nagpapahintulot sa parehong codebase na tumakbo sa Windows, Linux, at macOS nang walang pagbabago, na nagpapataas ng kahusayan at saklaw ng kanilang mga atake.
Pagkolekta ng Data
Ang nakakapinsalang payload ay may kasamang bahagi na nag-iimbak ng kredensyal na dinisenyo upang tahimik na mangolekta ng data mula sa browser at system-level, i-bundle ang impormasyon, at ipadala ito sa mga attacker. Bukod dito, natukoy ng mga mananaliksik ang isang script sa loob ng malware na nakatuon sa Telegram sa pamamagitan ng pagkuha ng parehong naka-encrypt na lokal na database nito at ang mga kaukulang susi ng decryption.
Mekanismo ng Naantalang Aktibasyon
Kapansin-pansin, ang malware ay gumagamit ng isang mekanismo ng naantalang aktibasyon, naghihintay ng sampung minuto bago isagawa ang mga operasyon nito sa isang halatang pagsisikap na makaiwas sa mga security scanner.
