Các nhà nghiên cứu tại SentinelLabs vừa phát hiện một chiến dịch tấn công macOS tinh vi mới từ các tin tặc Triều Tiên, nhắm vào ngành công nghiệp tiền điện tử với phương thức mời họp Zoom giả mạo. Được gọi là "NimDoor", cuộc tấn công này phức tạp hơn nhiều so với các mối đe dọa macOS thông thường, kết hợp nhiều ngôn ngữ lập trình như AppleScript, Bash, C++, và Nim để lấy cắp dữ liệu và duy trì quyền truy cập vào hệ thống bị xâm nhập.
Theo báo cáo từ SentinelLabs, các tin tặc từ Triều Tiên khai thác các tệp nhị phân được biên dịch bằng Nim và các chuỗi tấn công phức tạp để nhắm vào các doanh nghiệp liên quan đến Web3 và tiền điện tử. Đặc biệt, cuộc tấn công này sử dụng kỹ thuật tiêm quy trình và liên lạc từ xa thông qua giao thức WebSocket mã hóa TLS, điều hiếm thấy ở phần mềm độc hại trên macOS.
Cơ chế duy trì mới tận dụng các trình xử lý tín hiệu SIGINT/SIGTERM để cài đặt lại khi phần mềm độc hại bị ngắt hoặc hệ thống khởi động lại. Các tin tặc cũng triển khai rộng rãi AppleScripts để giành quyền truy cập ban đầu và hoạt động ngầm trong chuỗi tấn công.
Khi thực thi, nó kích hoạt một loạt sự kiện phức tạp để thiết lập kết nối mã hóa với máy chủ điều khiển. Nó cũng bao gồm logic dự phòng để cài đặt lại các thành phần chính nếu hệ thống khởi động lại hoặc quá trình phần mềm độc hại bị ngắt. Một khi tất cả các tệp nhị phân và cơ chế duy trì của cuộc tấn công được thiết lập, phần mềm độc hại sử dụng Bash scripts để lấy cắp và xuất thông tin đăng nhập và dữ liệu nhạy cảm, bao gồm thông tin Keychain, dữ liệu trình duyệt và dữ liệu Telegram.
Báo cáo của SentinelLabs cung cấp một cái nhìn sâu sắc về cách thức hoạt động của cuộc tấn công, bao gồm danh sách hash đầy đủ, đoạn mã, ảnh chụp màn hình và các sơ đồ tấn công chi tiết, cùng với phân tích sâu hơn về từng giai đoạn. Các nhà nghiên cứu cũng lưu ý rằng NimDoor phản ánh một sự chuyển dịch lớn hơn sang các ngôn ngữ phức tạp và ít quen thuộc hơn trên macOS, vượt ra ngoài các ngôn ngữ Go, Python và shell scripts mà các tin tặc Triều Tiên thường sử dụng trước đây.
