Hackers norte-coreanos estão usando novas variantes de malware direcionadas a dispositivos Apple como parte de uma campanha de ciberataques contra empresas de criptoativos.

Segundo um relatório da empresa de segurança cibernética Sentinel Labs publicado na quarta-feira, os atacantes se passam por alguém de confiança em aplicativos de mensagens como o Telegram, depois solicitam uma falsa reunião no Zoom via um link do Google Meet antes de enviar ao alvo o que parece ser um arquivo de atualização do Zoom.

Nimdoor atinge computadores Mac

Uma vez que a “atualização” é executada, o código instala um malware chamado “NimDoor” em computadores Mac, que então visa carteiras de criptomoedas e senhas armazenadas no navegador.

Anteriormente, acreditava-se amplamente que os computadores Mac eram menos suscetíveis a invasões e explorações, mas isso já não é mais o caso.

Embora o vetor de ataque seja relativamente comum, o malware é escrito em uma linguagem de programação incomum chamada Nim, tornando mais difícil sua detecção por softwares de segurança.

“Embora os estágios iniciais do ataque sigam um padrão familiar da Coreia do Norte, com uso de engenharia social, scripts de isca e atualizações falsas, o uso de binários compilados em Nim no macOS é uma escolha mais incomum,” disseram os pesquisadores.

Link falso de atualização do Zoom. Fonte: Sentinel Labs

Nim é uma linguagem de programação relativamente nova e incomum que está se tornando popular entre cibercriminosos porque pode rodar no Windows, Mac e Linux sem alterações, o que significa que os hackers podem escrever um único malware que funciona em todas as plataformas.

O Nim também compila rapidamente, gera arquivos executáveis autônomos e é muito difícil de detectar.

Atores de ameaça alinhados à Coreia do Norte já haviam experimentado as linguagens Go e Rust, mas segundo os pesquisadores da Sentinel, o Nim oferece vantagens significativas.

Carga útil de roubo de informações

A carga útil contém um coletor de credenciais “projetado para extrair silenciosamente informações do sistema e do navegador, empacotá-las e exfiltrá-las,” segundo o relatório.

Há também um script que rouba o banco de dados local criptografado do Telegram e as chaves de descriptografia.

Ele ainda utiliza uma tática de tempo inteligente ao esperar dez minutos antes de ativar-se, para evitar detecção por scanners de segurança.

Macs também pegam vírus

A fornecedora de soluções de segurança cibernética Huntress relatou em junho que invasões de malware semelhantes foram ligadas ao grupo hacker patrocinado pelo Estado norte-coreano “BlueNoroff.”

Pesquisadores afirmaram que o malware era interessante porque conseguia burlar as proteções de memória da Apple para injetar a carga maliciosa.

O malware é usado para captura de teclas digitadas (keylogging), gravação de tela, coleta de dados da área de transferência e também possui um “roubador de informações completo” chamado CryptoBot, que tem “foco em roubo de criptomoedas.” O infostealer penetra extensões de navegador, buscando plugins de carteiras.

Nesta semana, a empresa de segurança blockchain SlowMist alertou os usuários sobre uma “campanha maliciosa em massa” envolvendo dezenas de extensões falsas do Firefox projetadas para roubar credenciais de carteiras de criptomoedas.

“Nos últimos anos, vimos o macOS se tornar um alvo maior para atores de ameaça, especialmente em relação a atacantes altamente sofisticados patrocinados por Estados,” concluíram os pesquisadores da Sentinel Labs, desmentindo o mito de que Macs não pegam vírus.