北朝鮮のハッカーが、新たなmacOSマルウェアキャンペーンを通じて暗号業界を標的にしていると発表しました。この攻撃は、偽のZoom招待を利用しているということです。
このマルウェアは「NimDoor」と名付けられ、SentinelLabsの研究者によれば、従来のmacOSの脅威よりも高度であるとしています。AppleScript、Bash、C++、Nimを組み合わせてデータを外部に送信し、システムへのアクセスを維持する仕組みです。
この攻撃の手法は、ソーシャルエンジニアリングを利用して、被害者にTelegramを通じて信頼できる人物を装った者が接触します。被害者はCalendlyでの通話を求められ、その後、偽のZoomリンクと「Zoom SDKアップデート」を実行するよう指示するメールを受け取ります。SentinelLabsによると、このファイルはその本来の機能を隠すために、10,000行の空白が含まれているということです。
このファイルが実行されると、コマンド・アンド・コントロールサーバーとの暗号化された接続が確立されます。また、システムが再起動されたり、マルウェアプロセスが終了した場合に重要なコンポーネントを再インストールするバックアップロジックも含まれています。
マルウェアがシステムに定着した後、Bashスクリプトを使用してクレデンシャルや機密データを収集し、外部に送信します。これは、Keychainのクレデンシャル、ブラウザデータ、Telegramデータを含むということです。
SentinelLabsの報告書には、攻撃の詳細な技術的分析が含まれており、偽のZoomアップデートからデータの外部送信に至るまでの各段階の詳細な説明があります。
研究者はまた、NimDoorがmacOSマルウェアにおけるより複雑であまり知られていないクロスプラットフォーム言語へのシフトを反映していると指摘しています。これまで北朝鮮の脅威アクターが主に使用していたGo、Python、シェルスクリプトを超えた動きであるとしています。