cers nord-coréens utilisent des logiciels malveillants Mac pour attaquer des sociétés de cryptographie

ARTA - Les pirates affiliés à la Corée du Nord auraient utilisé des logiciels malveillants sophistiqués spécialement sur macOS pour cibler les entreprises Web3 et cryptographiques. Le logiciel malveillant s’est propagé via de fausses invitations Zoom, dans le but de voler des données sensibles et d’éviter la détection des systèmes de sécurité standard.

anelOne Labs rapporte que l'attaque a utilisé des méthodes à plusieurs niveaux, impliquant des techniques d'ingénierie sociale, des fichiers malveillants et des fichiers biniaires compilés utilisant un langage de programmation nam — un langage rare utilisé sur macOS, ce qui rend la détection plus compliquée.

, appelé « NimDoor », démontre une nouvelle tactique utilisée par le groupe de pirates nord-coréens pour pénétrer les systèmes de sécurité et voler des données à des entreprises du secteur de la cryptographie.

cottes de poursuite

asi commence généralement par une ingénierie sociale. L’attaquant s’est déguisé comme un contact de confiance via l’application Telegram, puis invite la victime à planifier les appels Zoom via le lien Calendly.

, qui a reçu un e-mail de phishing contenant un faux fichier de mise à jour SDK Zoom, sous la forme d’Appleys malveillants qui a des milliers de lignes de « padding » pour éviter la détection. Ce scénario a ensuite téléchargé des logiciels malveillants supplémentaires depuis un serveur appartenant au pirate qui imite le domaine officiel Zoom.

rénal, deux fichiers binaire principaux ont été découverts par des chercheurs - un en C + et un en imme - qui ont été utilisés pour créer un accès permanent et voler des données.

celiers pour l'accès aux données et le vol de données

ware utilise des méthodes inhabituelles dans macOS telles que l’injection de processus avec des droits d’accès spéciaux, la communication cryptée via WebSocket TLS (WS) et des mécanismes de persistance basés sur les signaux.

. Le logiciel malveillant sera réinstallé si l’utilisateur essaye de le fermer ou lorsque le système est rebooté. Pour voler des données, ce logiciel malveillant utilise un scénario Bash qui extrait des antécédents de navigateur, des créances de clé, ainsi que des données Telegram.

cers ciblés comprennent Arc, Brave, Firefox, Chrome et Microsoft Edge. En fait, ce logiciel malveillant prend une base de données locales de Telegram cryptée pour être possibilité d’être craqué hors ligne.

celique de persistance

survivre dans le système, les logiciels malveillants utilisent macOS LaunchAgents avec des noms qui ressemblent aux fichiers originaux, tels que « GoogIe LLC » (remplace la petite lettre « L » par un grand « i »), pour ressembler à un fichier de Google. Il y a aussi un fichier nommé « CoreKitAgent » qui surveille les signaux du système et se réinstallera lui-même s’il est arrêté.

est équipé de fonctionnalités anti-analyse, telles que une pause asynchrone de 10 minutes pour éviter la détection dans le sandbox.

Evolution des outils d’attaque

Selon SentinelOne, l’utilisation du langage im suggère une amélioration des capacités d’outils utilisés par les pirates. La capacité de Mim à exécuter des codes lors de la compilation et de la fusion du code de développeur avec un code de détermination rend la analyse statique difficile.

Beacon, basé sur l’Apple, permet un léger câble de distance sans avoir besoin d’utiliser des cadres d’exploitation lourds qui sont plus facilement détectés par les systèmes de sécurité.

vous protéger contre les sinistrés

1. N’exécutez pas les scénaristes ou les mises à jour logicielles reçues par courriels ou messages suspects, même s’ils sont vus provenant de contacts de confiance.

2. Vérifiez attentivement les URLs car les pirates utilisent souvent des domaines artificiels.

3. Gardez toujours à jour le système macOS et les applications vers les dernières versions pour combler les lacunes de sécurité.

4. Utilisez une application de sécurité par endpoint fiable qui peut détecter des injections de processus, des drogues d’Apple ou des agents de lancement présumés.

5. Vérifiez périodiquement les éléments de connexion et les agents de lancement pour détecter des entrées non autorisées.

6. Utilisez un mot de passe fort et unique et activez l’authentification à deux facteurs (2FA) où il est disponible.