Neue Cyberangriffskampagne von Nordkoreanischen Hackern
Nordkoreanische Hacker haben eine neue Cyberangriffskampagne gestartet, die gezielt Kryptowährungsunternehmen ins Visier nimmt. Dabei setzen sie eine ausgeklügelte Malware-Variante namens NimDoor ein. Diese Malware ist darauf ausgelegt, Apple-Geräte zu infiltrieren und eingebaute Speicherschutzmaßnahmen zu umgehen, um sensible Daten aus Krypto-Wallets und Browsern zu extrahieren.
Angriffsstrategie
Der Angriff beginnt mit Social-Engineering-Taktiken auf Plattformen wie Telegram, wo die Hacker sich als vertrauenswürdige Kontakte ausgeben, um mit den Opfern ins Gespräch zu kommen. Sie laden das Ziel dann zu einem gefälschten Zoom-Meeting ein, das als Google Meet-Sitzung getarnt ist, und senden eine Datei, die ein legitimes Zoom-Update imitiert. Diese Datei dient als Übertragungsmethode für die bösartige Nutzlast.
„Nach der Ausführung installiert die Malware NimDoor auf dem Gerät des Opfers, das dann sensible Informationen erntet, insbesondere Krypto-Wallets und gespeicherte Browser-Anmeldeinformationen.“
Technische Details der Malware
Forscher der Cybersicherheitsfirma SentinelLabs entdeckten diese neue Taktik und stellten fest, dass die Verwendung der Programmiersprache Nim diese Malware von anderen abhebt. Nim-kompilierte Binärdateien sind selten und zielen auf macOS ab, was die Malware für herkömmliche Sicherheitswerkzeuge weniger erkennbar macht und potenziell schwieriger zu analysieren ist.
Die Forscher beobachteten, dass nordkoreanische Bedrohungsakteure zuvor mit Programmiersprachen wie Go und Rust experimentiert haben, aber der Wechsel zu Nim spiegelt einen strategischen Vorteil wider, da es plattformübergreifende Fähigkeiten bietet. Dies ermöglicht es, denselben Code auf Windows, Linux und macOS ohne Modifikation auszuführen, was die Effizienz und Reichweite ihrer Angriffe erhöht.
Funktionalitäten der Malware
Die bösartige Nutzlast enthält eine Komponente zum Stehlen von Anmeldeinformationen, die darauf ausgelegt ist, Browser- und systemweite Daten diskret zu ernten, diese Informationen zu bündeln und sie an die Angreifer zu übermitteln. Darüber hinaus identifizierten die Forscher ein Skript innerhalb der Malware, das Telegram angreift, indem es sowohl die verschlüsselte lokale Datenbank als auch die entsprechenden Entschlüsselungsschlüssel extrahiert.
Bemerkenswerterweise verwendet die Malware einen verzögerten Aktivierungsmechanismus, der zehn Minuten wartet, bevor sie ihre Operationen ausführt, um Sicherheits-Scanner zu umgehen.
