Des cybercriminels nord-coréens ont ciblé des entreprises de crypto-monnaies en utilisant une nouvelle souche de malware qui exploite les appareils Apple dans une attaque en plusieurs étapes.
Des chercheurs de la société de cybersécurité Sentinel Labs ont émis un avertissement concernant la campagne, qui utilise des techniques d'ingénierie sociale et de persistance avancée pour compromettre les systèmes macOS.
Le malware, surnommé "NimDoor", est écrit dans le langage de programmation moins connu Nim et est capable d'échapper aux outils antivirus traditionnels.
Selon Sentinel Labs, les attaquants initient le contact en se faisant passer pour des personnes de confiance sur des plateformes de messagerie comme Telegram. Les victimes, qui semblent dans ce cas être des employés d'entreprises de blockchain ou de Web3, sont attirées dans de fausses réunions Zoom via des liens de phishing et sont invitées à installer ce qui semble être une mise à jour habituelle du SDK Zoom.
Une fois exécuté, le script de mise à jour installe plusieurs étapes de malware sur l'appareil Mac de la victime. Cela inclut des balises basées sur AppleScript, des scripts Bash pour le vol d'identifiants, et des binaires compilés en Nim et C++ pour la persistance et l'exécution de commandes à distance.
Les binaires sont des fichiers de programme autonomes qui exécutent des tâches spécifiques dans la chaîne de malware. Un binaire, appelé CoreKitAgent, utilise un mécanisme de persistance basé sur des signaux qui s'exécute lorsque les utilisateurs essaient de fermer le malware, lui permettant de rester actif même après le redémarrage du système.
Les cryptomonnaies sont une cible clé de l'opération. Le malware recherche spécifiquement les identifiants stockés dans le navigateur et les données d'application liées aux portefeuilles numériques.
Le malware exécute des scripts conçus pour extraire des informations des navigateurs populaires tels que Chrome, Brave, Edge et Firefox, ainsi que du gestionnaire de mots de passe Keychain d'Apple. Un autre composant cible la base de données chiffrée de Telegram et les fichiers de clés, exposant potentiellement les phrases de graine de portefeuille et les clés privées échangées via l'application de messagerie.
Les hackers nord-coréens responsables
Sentinel Labs a attribué la campagne à un acteur de menace aligné sur la Corée du Nord, poursuivant un schéma de cyberattaques axées sur la cryptomonnaie par la République populaire démocratique de Corée.
Des groupes de hackers tels que Lazarus ont longtemps ciblé les entreprises d'actifs numériques afin de contourner les sanctions internationales et de financer des opérations étatiques. Les opérations précédentes ont vu des malware écrits en Go et Rust, mais cette campagne marque l'un des premiers déploiements majeurs de Nim contre des cibles macOS.
Comme l'a précédemment rapporté crypto.news, fin 2023, des chercheurs ont observé une autre campagne liée à la RPDC qui a déployé un malware basé sur Python connu sous le nom de Kandykorn. Il a été distribué via des serveurs Discord déguisés en bot d'arbitrage crypto et ciblait principalement des ingénieurs blockchain utilisant macOS.
Sentinel Labs a averti qu'à mesure que les acteurs de la menace adoptent de plus en plus des langages de programmation obscurs et des techniques sophistiquées, les hypothèses de sécurité traditionnelles concernant macOS ne sont plus valables.
Au cours des derniers mois, plusieurs souches de malware ont ciblé les utilisateurs d'Apple, y compris SparkKitty, qui a volé des phrases de récupération via des galeries de photos sur iOS, et un cheval de Troie qui a remplacé les applications de portefeuille sur macOS par une version malveillante.
Voir l'original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Des hackers nord-coréens ciblent macOS dans leur dernière campagne de malware visant les entreprises de crypto-monnaies
Des cybercriminels nord-coréens ont ciblé des entreprises de crypto-monnaies en utilisant une nouvelle souche de malware qui exploite les appareils Apple dans une attaque en plusieurs étapes.
Des chercheurs de la société de cybersécurité Sentinel Labs ont émis un avertissement concernant la campagne, qui utilise des techniques d'ingénierie sociale et de persistance avancée pour compromettre les systèmes macOS.
Le malware, surnommé "NimDoor", est écrit dans le langage de programmation moins connu Nim et est capable d'échapper aux outils antivirus traditionnels.
Selon Sentinel Labs, les attaquants initient le contact en se faisant passer pour des personnes de confiance sur des plateformes de messagerie comme Telegram. Les victimes, qui semblent dans ce cas être des employés d'entreprises de blockchain ou de Web3, sont attirées dans de fausses réunions Zoom via des liens de phishing et sont invitées à installer ce qui semble être une mise à jour habituelle du SDK Zoom.
Une fois exécuté, le script de mise à jour installe plusieurs étapes de malware sur l'appareil Mac de la victime. Cela inclut des balises basées sur AppleScript, des scripts Bash pour le vol d'identifiants, et des binaires compilés en Nim et C++ pour la persistance et l'exécution de commandes à distance.
Les binaires sont des fichiers de programme autonomes qui exécutent des tâches spécifiques dans la chaîne de malware. Un binaire, appelé CoreKitAgent, utilise un mécanisme de persistance basé sur des signaux qui s'exécute lorsque les utilisateurs essaient de fermer le malware, lui permettant de rester actif même après le redémarrage du système.
Les cryptomonnaies sont une cible clé de l'opération. Le malware recherche spécifiquement les identifiants stockés dans le navigateur et les données d'application liées aux portefeuilles numériques.
Le malware exécute des scripts conçus pour extraire des informations des navigateurs populaires tels que Chrome, Brave, Edge et Firefox, ainsi que du gestionnaire de mots de passe Keychain d'Apple. Un autre composant cible la base de données chiffrée de Telegram et les fichiers de clés, exposant potentiellement les phrases de graine de portefeuille et les clés privées échangées via l'application de messagerie.
Les hackers nord-coréens responsables
Sentinel Labs a attribué la campagne à un acteur de menace aligné sur la Corée du Nord, poursuivant un schéma de cyberattaques axées sur la cryptomonnaie par la République populaire démocratique de Corée.
Des groupes de hackers tels que Lazarus ont longtemps ciblé les entreprises d'actifs numériques afin de contourner les sanctions internationales et de financer des opérations étatiques. Les opérations précédentes ont vu des malware écrits en Go et Rust, mais cette campagne marque l'un des premiers déploiements majeurs de Nim contre des cibles macOS.
Comme l'a précédemment rapporté crypto.news, fin 2023, des chercheurs ont observé une autre campagne liée à la RPDC qui a déployé un malware basé sur Python connu sous le nom de Kandykorn. Il a été distribué via des serveurs Discord déguisés en bot d'arbitrage crypto et ciblait principalement des ingénieurs blockchain utilisant macOS.
Sentinel Labs a averti qu'à mesure que les acteurs de la menace adoptent de plus en plus des langages de programmation obscurs et des techniques sophistiquées, les hypothèses de sécurité traditionnelles concernant macOS ne sont plus valables.
Au cours des derniers mois, plusieurs souches de malware ont ciblé les utilisateurs d'Apple, y compris SparkKitty, qui a volé des phrases de récupération via des galeries de photos sur iOS, et un cheval de Troie qui a remplacé les applications de portefeuille sur macOS par une version malveillante.