DPRK usa malware NimDoor para atacar plataformas de criptomoeda

São Paulo — InkDesign News — Uma nova campanha de ameaças, vinculada à Coreia do Norte, está direcionando ataques a plataformas de Web3 e criptomoedas usando um malware específico para macOS, conhecido como “NimDoor”.

Vetor de ataque

De acordo com a pesquisa da equipe SentinelLABS da SentinelOne, a infraestrutura de ataque começa com o ator de ameaças se passando por um contato confiável no Telegram e enviando uma solicitação para agendar uma reunião pelo Calendly. O alvo recebe um link de reunião do Zoom, acompanhado de instruções para instalar um “script de atualização do Zoom SDK”.

O script, chamado “zoom_sdk_support.scpt”, é ofuscado através de um preenchimento de espaços em branco, ocultando as últimas três linhas que contêm código malicioso capaz de recuperar e executar um “script de segunda fase a partir de um servidor de comando e controle.”

Impacto e resposta

A campanha compromete dados do usuário do Telegram, credenciais do Keychain da Apple e dados do navegador. A instalação de múltiplos binários permite que o malware colete informações sensíveis e mantenha persistência no sistema. Segundo os pesquisadores, o uso de técnicas de injeção de processos e comunicações remotas via WebSocket com um canal criptografado em TLS representa um comportamento incomum para malwares no macOS.

Análise e recomendações

“End users and those working in Web3 and Crypto are advised to treat any unsolicited approaches for meetings from contacts via social media, particularly Telegram, with caution,”
(“Usuários finais e aqueles que trabalham em Web3 e criptomoeda são aconselhados a tratar qualquer abordagem não solicitada para reuniões de contatos através de redes sociais, particularmente no Telegram, com cautela.”)

— Phil Stokes, Pesquisador, SentinelOne

Organizações devem revisar os indicadores de comprometimento indicados pela SentinelOne e implementar proteções de endpoint de confiança. O uso de práticas de engenharia social pode ser uma porta de entrada para infecções. É vital permanecer vigilante sobre solicitações de atualização de software, especialmente aquelas originadas de contatos desconhecidos.

A situação atual exige a atenção contínua dos setores de segurança cibernética, pois a evolução das táticas de ataque pode resultar em novos desafios no futuro.

Fonte: (Dark Reading – Segurança Cibernética)