Dans un climat numérique en constante évolution, des entreprises de cryptomonnaie telles que Binance et Coinbase deviennent les cibles de malwares macOS. Récemment, une mise à jour frauduleuse de Zoom a émergé, menaçant la sécurité des startups de crypto. Découvrez comment ces attaques sophistiquées se propagent.
Des hackers nord-coréens ont lancé une nouvelle campagne de malware macOS, particulièrement sophistiquée, visant l’industrie de la crypto-monnaie en utilisant de fausses invitations Zoom. Voici comment cela fonctionne.
Appelée « NimDoor » par les chercheurs de SentinelLabs, cette attaque dépasse les menaces macOS habituelles, en combinant AppleScript, Bash, C++ et Nim pour exfiltrer des données et maintenir l’accès à des systèmes compromis.
Selon le résumé exécutif de l’attaque par SentinelLabs :
- Les acteurs de la menace DPRK utilisent des binaires compilés en Nim et plusieurs chaînes d’attaque dans une campagne visant des entreprises liées à Web3 et à la crypto.
- Inhabituellement pour un malware macOS, les acteurs de la menace emploient une technique d’injection de processus et des communications à distance via wss, la version chiffrée TLS du protocole WebSocket.
- Un mécanisme de persistance novateur profite des gestionnaires de signaux SIGINT/SIGTERM pour installer une persistance lorsque le malware est arrêté ou que le système est redémarré.
- Les acteurs de la menace déploient largement des AppleScripts, tant pour obtenir un accès initial que plus tard dans la chaîne d’attaque, en agissant comme des balises et des portes dérobées légères.
- Des scripts Bash sont utilisés pour exfiltrer les identifiants du Trousseau, les données du navigateur et les données des utilisateurs de Telegram.
- L’analyse de SentinelLabs met en évidence des TTPs et des artefacts de malware novateurs qui relient des composants précédemment rapportés, élargissant notre compréhension du manuel en évolution des acteurs de la menace.
Sommaire :
Comment cela fonctionne, en bref
À travers l’ingénierie sociale, les victimes sont contactées via Telegram par une personne se faisant passer pour un contact de confiance. Elles sont invitées à planifier un appel via Calendly, puis reçoivent un e-mail de suivi contenant un faux lien Zoom et des instructions pour exécuter une prétendue « mise à jour du SDK Zoom ». SentinelLabs indique que le fichier « est fortement rempli, contenant 10 000 lignes d’espaces pour obscurcir sa véritable fonction ».
Lorsqu’il est exécuté, il déclenche une série d’événements complexes établissant une connexion chiffrée avec un serveur de commande et de contrôle. Il comprend également une logique de sauvegarde qui réinstalle les composants clés si le système est redémarré ou si le processus du malware est arrêté.
Une fois tous les binaires de l’attaque et les mécanismes de persistance en place, le malware utilise des scripts Bash pour collecter et exfiltrer des identifiants et des données sensibles. Cela inclut les identifiants du Trousseau, les données de navigation et les données Telegram.
Une plongée technique complète mérite le détour
Pour ceux qui souhaitent explorer en détail le fonctionnement du hack, le rapport de SentinelLabs comprend des listes de hash, des extraits de code, des captures d’écran et des diagrammes de flux d’attaque, ainsi qu’une analyse beaucoup plus détaillée de chaque étape, depuis la fausse mise à jour Zoom jusqu’à l’exfiltration finale de données.
Les chercheurs notent également que NimDoor reflète un changement plus large vers des langages multi-plateformes plus complexes et moins familiers dans les malwares macOS, s’éloignant des scripts en Go, Python et shell que les acteurs de menace nord-coréens utilisaient typiquement dans le passé.
Qu’est-ce que le malware NimDoor ?
NimDoor est un malware sophistiqué ciblant l’industrie de la cryptomonnaie, développé par des hackers nord-coréens. Il utilise des techniques avancées pour exfiltrer des données et maintenir l’accès aux systèmes compromis.
Comment les victimes sont-elles ciblées ?
Les victimes sont abordées via Telegram par une personne se faisant passer pour un contact de confiance. On leur demande de planifier un appel, puis elles reçoivent un email contenant un faux lien Zoom et des instructions pour exécuter une mise à jour de « Zoom SDK » falsifiée.
Quelles techniques sont utilisées dans l’attaque ?
Les attaquants utilisent des scripts Apple, Bash, C++ et Nim pour mener à bien l’attaque. Ils emploient également des techniques d’injection de processus et de communications à distance via un protocole WebSocket sécurisé.
Quels types de données sont exfiltrés ?
Le malware exfiltre des informations sensibles telles que les identifiants Keychain, les données de navigateur et les données des utilisateurs de Telegram.
Bonjour, je m’appelle Manu Dibango et j’ai 37 ans. Cadre supérieur dans l’administration, je suis passionné par la gestion et l’organisation. Bienvenue sur Camernews où je partage ma veille sur les nouvelles technologies et l’innovation.
