Kejahatan siber Korea Utara telah menargetkan perusahaan kripto menggunakan varian malware baru yang mengeksploitasi perangkat Apple dalam serangan multi-tahap.
Peneliti di perusahaan keamanan siber Sentinel Labs telah mengeluarkan peringatan tentang kampanye ini, yang memanfaatkan rekayasa sosial dan teknik ketahanan canggih untuk mengkompromikan sistem macOS.
Malware yang disebut "NimDoor" ditulis dalam bahasa pemrograman Nim yang kurang dikenal dan mampu menghindari alat antivirus tradisional.
Menurut Sentinel Labs, para penyerang memulai kontak dengan menyamar sebagai individu tepercaya di platform pesan seperti Telegram. Korban, yang dalam hal ini tampaknya adalah karyawan di perusahaan blockchain atau Web3, dijebak ke dalam pertemuan Zoom palsu melalui tautan phishing dan diinstruksikan untuk menginstal apa yang tampaknya merupakan pembaruan rutin SDK Zoom.
Setelah dijalankan, skrip pembaruan menginstal beberapa tahap malware ke perangkat Mac korban. Ini termasuk beacon berbasis AppleScript, skrip Bash untuk pencurian kredensial, dan biner yang dikompilasi dalam Nim dan C++ untuk ketahanan dan eksekusi perintah jarak jauh.
Biner adalah file program mandiri yang menjalankan tugas tertentu dalam rantai malware. Satu biner, yang disebut CoreKitAgent, menggunakan mekanisme ketahanan berbasis sinyal yang berjalan ketika pengguna mencoba menutup malware, memungkinkan tetap aktif bahkan setelah sistem di-reboot.
Kryptocurrency adalah target utama dari operasi ini. Malware secara spesifik mencari kredensial yang disimpan di browser dan data aplikasi yang terkait dengan dompet digital.
Malware mengeksekusi skrip yang dirancang untuk mengekstrak informasi dari browser populer seperti Chrome, Brave, Edge, dan Firefox, serta pengelola kata sandi Keychain milik Apple. Komponen lain menargetkan database terenkripsi dan file kunci Telegram, yang berpotensi mengekspos frasa benih dompet dan kunci privat yang ditukarkan melalui aplikasi pesan.
Peretas Korea Utara bertanggung jawab
Sentinel Labs telah mengaitkan kampanye ini dengan aktor ancaman yang selaras dengan Korea Utara, melanjutkan pola serangan siber yang berfokus pada crypto oleh Republik Rakyat Demokratik Korea.
Kelompok peretas seperti Lazarus telah lama menargetkan perusahaan aset digital dalam upaya untuk menghindari sanksi internasional dan mendanai operasi negara. Operasi sebelumnya telah melihat malware yang ditulis dalam Go dan Rust, tetapi kampanye ini menandai salah satu dari penyebaran besar pertama Nim terhadap target macOS.
Seperti yang dilaporkan sebelumnya oleh crypto.news, pada akhir 2023, peneliti mengamati kampanye lain yang terkait dengan DPRK yang menggunakan malware berbasis Python yang dikenal sebagai Kandykorn. Malware ini didistribusikan melalui server Discord yang menyamar sebagai bot arbitrase kripto dan terutama menargetkan insinyur blockchain yang menggunakan macOS.
Sentinel Labs telah memperingatkan bahwa seiring dengan semakin banyaknya aktor ancaman yang mengadopsi bahasa pemrograman yang tidak jelas dan teknik yang canggih, asumsi keamanan tradisional mengenai macOS tidak lagi berlaku.
Selama beberapa bulan terakhir, beberapa strain malware telah menargetkan pengguna Apple, termasuk SparkKitty, yang mencuri frasa benih melalui galeri foto di iOS, dan trojan yang menggantikan aplikasi dompet di macOS dengan versi berbahaya.
Lihat Asli
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Hacker Korea Utara menargetkan macOS dalam kampanye malware terbaru yang menargetkan perusahaan kripto
Kejahatan siber Korea Utara telah menargetkan perusahaan kripto menggunakan varian malware baru yang mengeksploitasi perangkat Apple dalam serangan multi-tahap.
Peneliti di perusahaan keamanan siber Sentinel Labs telah mengeluarkan peringatan tentang kampanye ini, yang memanfaatkan rekayasa sosial dan teknik ketahanan canggih untuk mengkompromikan sistem macOS.
Malware yang disebut "NimDoor" ditulis dalam bahasa pemrograman Nim yang kurang dikenal dan mampu menghindari alat antivirus tradisional.
Menurut Sentinel Labs, para penyerang memulai kontak dengan menyamar sebagai individu tepercaya di platform pesan seperti Telegram. Korban, yang dalam hal ini tampaknya adalah karyawan di perusahaan blockchain atau Web3, dijebak ke dalam pertemuan Zoom palsu melalui tautan phishing dan diinstruksikan untuk menginstal apa yang tampaknya merupakan pembaruan rutin SDK Zoom.
Setelah dijalankan, skrip pembaruan menginstal beberapa tahap malware ke perangkat Mac korban. Ini termasuk beacon berbasis AppleScript, skrip Bash untuk pencurian kredensial, dan biner yang dikompilasi dalam Nim dan C++ untuk ketahanan dan eksekusi perintah jarak jauh.
Biner adalah file program mandiri yang menjalankan tugas tertentu dalam rantai malware. Satu biner, yang disebut CoreKitAgent, menggunakan mekanisme ketahanan berbasis sinyal yang berjalan ketika pengguna mencoba menutup malware, memungkinkan tetap aktif bahkan setelah sistem di-reboot.
Kryptocurrency adalah target utama dari operasi ini. Malware secara spesifik mencari kredensial yang disimpan di browser dan data aplikasi yang terkait dengan dompet digital.
Malware mengeksekusi skrip yang dirancang untuk mengekstrak informasi dari browser populer seperti Chrome, Brave, Edge, dan Firefox, serta pengelola kata sandi Keychain milik Apple. Komponen lain menargetkan database terenkripsi dan file kunci Telegram, yang berpotensi mengekspos frasa benih dompet dan kunci privat yang ditukarkan melalui aplikasi pesan.
Peretas Korea Utara bertanggung jawab
Sentinel Labs telah mengaitkan kampanye ini dengan aktor ancaman yang selaras dengan Korea Utara, melanjutkan pola serangan siber yang berfokus pada crypto oleh Republik Rakyat Demokratik Korea.
Kelompok peretas seperti Lazarus telah lama menargetkan perusahaan aset digital dalam upaya untuk menghindari sanksi internasional dan mendanai operasi negara. Operasi sebelumnya telah melihat malware yang ditulis dalam Go dan Rust, tetapi kampanye ini menandai salah satu dari penyebaran besar pertama Nim terhadap target macOS.
Seperti yang dilaporkan sebelumnya oleh crypto.news, pada akhir 2023, peneliti mengamati kampanye lain yang terkait dengan DPRK yang menggunakan malware berbasis Python yang dikenal sebagai Kandykorn. Malware ini didistribusikan melalui server Discord yang menyamar sebagai bot arbitrase kripto dan terutama menargetkan insinyur blockchain yang menggunakan macOS.
Sentinel Labs telah memperingatkan bahwa seiring dengan semakin banyaknya aktor ancaman yang mengadopsi bahasa pemrograman yang tidak jelas dan teknik yang canggih, asumsi keamanan tradisional mengenai macOS tidak lagi berlaku.
Selama beberapa bulan terakhir, beberapa strain malware telah menargetkan pengguna Apple, termasuk SparkKitty, yang mencuri frasa benih melalui galeri foto di iOS, dan trojan yang menggantikan aplikasi dompet di macOS dengan versi berbahaya.