Campagne de Cyberattaques Nord-Coréennes
Des hackers nord-coréens ont lancé une nouvelle campagne de cyberattaques ciblant les entreprises de cryptomonnaie en déployant une souche de malware sophistiquée connue sous le nom de NimDoor. Ce malware est conçu pour infiltrer les appareils Apple, contournant les protections mémoire intégrées afin d’extraire des données sensibles des portefeuilles de cryptomonnaie et des navigateurs.
Tactiques d’Ingénierie Sociale
L’attaque débute par des tactiques d’ingénierie sociale sur des plateformes comme Telegram, où les hackers se font passer pour des contacts de confiance afin d’engager les victimes dans une conversation. Ils invitent ensuite la cible à une fausse réunion Zoom, déguisée en session Google Meet, et envoient un fichier imitant une mise à jour légitime de Zoom. Ce fichier sert de méthode de livraison pour le chargement malveillant.
Fonctionnement du Malware
Une fois exécuté, le malware installe NimDoor sur l’appareil de la victime, qui commence à récolter des informations sensibles, ciblant spécifiquement les portefeuilles de cryptomonnaie et les identifiants de navigateur stockés. Les chercheurs de la société de cybersécurité SentinelLabs ont découvert cette nouvelle tactique, notant que l’utilisation du langage de programmation Nim distingue ce malware. Les binaires compilés en Nim sont rarement observés ciblant macOS, rendant le malware moins reconnaissable pour les outils de sécurité conventionnels et potentiellement plus difficile à analyser et à détecter.
Avantages Stratégiques
Les chercheurs ont observé que les acteurs de la menace nord-coréenne avaient précédemment expérimenté avec des langages de programmation comme Go et Rust, mais le passage à Nim reflète un avantage stratégique en raison de ses capacités multiplateformes. Cela permet à la même base de code de fonctionner sur Windows, Linux et macOS sans modification, augmentant ainsi l’efficacité et la portée de leurs attaques.
Composants Malveillants
Le chargement malveillant comprend un composant de vol d’identifiants conçu pour récolter discrètement des données de navigateur et de niveau système, regrouper les informations et les transmettre aux attaquants. De plus, les chercheurs ont identifié un script au sein du malware qui cible Telegram en extrayant à la fois sa base de données locale chiffrée et les clés de déchiffrement correspondantes. Notamment, le malware utilise un mécanisme d’activation retardée, attendant dix minutes avant d’exécuter ses opérations dans un effort apparent pour échapper aux scanners de sécurité.
