SentinelLabs, la divisione di ricerca e intelligence sulle minacce dell'azienda di sicurezza informatica SentinelOne, ha approfondito una nuova e sofisticata campagna di attacco chiamata NimDoor, che prende di mira i dispositivi macOS da parte di malintenzionati della RPDC.
L'elaborato schema prevede l'utilizzo del linguaggio di programmazione Nim per iniettare più catene di attacco sui dispositivi utilizzati nelle piccole aziende Web3, una tendenza recente.
L'autoproclamato investigatore ZachXBT ha anche scoperto una catena di pagamenti effettuati a dipendenti IT coreani, che potrebbero far parte di questo ingegnoso gruppo di hacker.
Come viene eseguito l'attacco
Il rapporto dettagliato di SentinelLabs descrive un approccio nuovo e offuscato per violare i dispositivi Mac.
Inizia in un modo ormai familiare: impersonando un contatto fidato per fissare un incontro tramite Calendly, la vittima riceve successivamente un'email per aggiornare l'applicazione Zoom. Puoi trovare maggiori informazioni su questa particolare truffa nel nostro rapporto dettagliato qui .
Lo script di aggiornamento termina con tre righe di codice dannoso che recuperano ed eseguono uno script di seconda fase da un server controllato a un link legittimo per una riunione Zoom.
Cliccando sul link vengono scaricati automaticamente due file binari per Mac, che avviano due catene di esecuzione indipendenti: la prima estrae informazioni generali di sistema e dati specifici dell'applicazione. La seconda garantisce all'attaccante l'accesso a lungo termine al computer interessato.
La catena di attacco prosegue poi con l'installazione di due script Bash tramite un trojan. Uno viene utilizzato per colpire i dati di browser specifici: Arc, Brave, Firefox, Chrome ed Edge. L'altro ruba i dati crittografati di Telegram e il blob utilizzato per decrittografarli. I dati vengono quindi estratti e inviati al server controllato.
Ciò che rende questo approccio unico e impegnativo per gli analisti della sicurezza è l'impiego di più componenti malware e di tecniche diverse impiegate per iniettare e falsificare il malware, rendendone molto difficile il rilevamento.
Attacchi simili sono stati rilevati anche da Huntabil.IT ad aprile e da Huntress a giugno.
Segui il denaro
ZachXBT, l'investigatore di blockchain con pseudonimo, ha recentemente pubblicato su X le sue ultime scoperte su ingenti pagamenti effettuati a vari sviluppatori della Repubblica Popolare Democratica di Corea (RPDC) che lavorano a diversi progetti dall'inizio dell'anno.
È riuscito a identificare otto lavoratori distinti che lavoravano per 12 aziende diverse.
I suoi risultati indicano che 2,76 milioni di dollari in USDC venivano inviati ogni mese dagli account Circle agli indirizzi associati agli sviluppatori. Questi indirizzi sono molto simili a uno inserito nella blacklist di Tether nel 2023, in quanto collegato al presunto cospiratore Sim Hyon Sop.
Zach continua a monitorare gruppi di indirizzi simili, ma non ha reso pubblica alcuna informazione, poiché sono ancora attivi.
Ha lanciato un avvertimento affermando che, una volta che questi lavoratori assumeranno la responsabilità dei contratti, il progetto sottostante sarà ad alto rischio.
Credo che quando un team assume più ITW (lavoratori IT) RPDC, questo sia un buon indicatore per prevedere il fallimento della startup. A differenza di altre minacce per il settore, questi lavoratori sono poco sofisticati, quindi è principalmente il risultato della negligenza del team stesso.
L'articolo "Attenzione! Gli hacker nordcoreani prendono di mira gli utenti Mac in un modo molto creativo" è apparso per la prima volta su CryptoPotato .