Chiến dịch tấn công mạng của tin tặc Triều Tiên
Các tin tặc Triều Tiên đã phát động một chiến dịch tấn công mạng mới nhằm vào các công ty tiền điện tử bằng cách triển khai một biến thể phần mềm độc hại tinh vi có tên là NimDoor. Phần mềm độc hại này được thiết kế để xâm nhập vào các thiết bị Apple, vượt qua các biện pháp bảo vệ bộ nhớ tích hợp nhằm trích xuất dữ liệu nhạy cảm từ ví tiền điện tử và trình duyệt.
Chiến thuật tấn công
Cuộc tấn công bắt đầu bằng các chiến thuật kỹ thuật xã hội trên các nền tảng như Telegram, nơi các tin tặc giả mạo là những liên hệ đáng tin cậy để thu hút nạn nhân tham gia trò chuyện. Họ sau đó mời mục tiêu tham gia một cuộc họp Zoom giả mạo, được ngụy trang như một phiên Google Meet, và gửi một tệp tin giả mạo bản cập nhật Zoom hợp pháp. Tệp tin này phục vụ như một phương thức giao hàng cho mã độc.
Khi được thực thi, phần mềm độc hại cài đặt NimDoor trên thiết bị của nạn nhân, sau đó tiến hành thu thập thông tin nhạy cảm, đặc biệt nhắm vào các ví tiền điện tử và thông tin đăng nhập trình duyệt đã lưu.
Phân tích và phát hiện
Các nhà nghiên cứu tại công ty an ninh mạng SentinelLabs đã phát hiện ra chiến thuật mới này, lưu ý rằng việc sử dụng ngôn ngữ lập trình Nim đã làm cho phần mềm độc hại này trở nên khác biệt. Các tệp nhị phân biên dịch bằng Nim hiếm khi được thấy nhắm vào macOS, khiến phần mềm độc hại ít được nhận diện bởi các công cụ bảo mật thông thường và có thể khó phân tích và phát hiện hơn.
Các nhà nghiên cứu đã quan sát thấy rằng các tác nhân đe dọa từ Triều Tiên trước đây đã thử nghiệm với các ngôn ngữ lập trình như Go và Rust, nhưng sự chuyển hướng sang Nim phản ánh một lợi thế chiến lược do khả năng đa nền tảng của nó. Điều này cho phép cùng một mã nguồn chạy trên Windows, Linux và macOS mà không cần sửa đổi, tăng cường hiệu quả và phạm vi của các cuộc tấn công của họ.
Chức năng của mã độc
Mã độc bao gồm một thành phần đánh cắp thông tin đăng nhập được thiết kế để thu thập một cách kín đáo dữ liệu trình duyệt và dữ liệu cấp hệ thống, đóng gói thông tin và truyền tải nó đến các tin tặc. Thêm vào đó, các nhà nghiên cứu đã xác định một kịch bản trong phần mềm độc hại nhắm vào Telegram bằng cách trích xuất cả cơ sở dữ liệu cục bộ được mã hóa và các khóa giải mã tương ứng.
Đáng chú ý, phần mềm độc hại sử dụng cơ chế kích hoạt trì hoãn, chờ đợi mười phút trước khi thực hiện các hoạt động của nó nhằm tránh bị phát hiện bởi các công cụ quét bảo mật.
