Nuova Campagna di Attacco Informatico
Gli hacker nordcoreani hanno avviato una nuova campagna di attacco informatico mirata alle aziende di criptovalute, utilizzando una sofisticata variante di malware nota come NimDoor. Questo malware è progettato per infiltrarsi nei dispositivi Apple, eludendo le protezioni di memoria integrate per estrarre dati sensibili dai portafogli di criptovalute e dai browser.
Tattiche di Ingegneria Sociale
L’attacco inizia con tattiche di ingegneria sociale su piattaforme come Telegram, dove gli hacker si spacciano per contatti fidati per coinvolgere le vittime in conversazioni. Successivamente, invitano il bersaglio a una falsa riunione su Zoom, mascherata da sessione Google Meet, e inviano un file che imita un aggiornamento legittimo di Zoom. Questo file funge da metodo di consegna per il payload malevolo.
Funzionamento del Malware
Una volta eseguito, il malware installa NimDoor sul dispositivo della vittima, che inizia a raccogliere informazioni sensibili, mirando specificamente ai portafogli di criptovalute e alle credenziali memorizzate nel browser. I ricercatori della società di cybersecurity SentinelLabs hanno scoperto questa nuova tattica, notando che l’uso del linguaggio di programmazione Nim distingue questo malware. I binari compilati in Nim sono raramente visti mirare a macOS, rendendo il malware meno riconoscibile per gli strumenti di sicurezza convenzionali e potenzialmente più difficile da analizzare e rilevare.
Strategia degli Attaccanti
I ricercatori hanno osservato che gli attori delle minacce nordcoreane hanno precedentemente sperimentato linguaggi di programmazione come Go e Rust, ma il passaggio a Nim riflette un vantaggio strategico grazie alle sue capacità multipiattaforma. Questo consente alla stessa base di codice di funzionare su Windows, Linux e macOS senza modifiche, aumentando l’efficienza e la portata dei loro attacchi.
Componenti del Payload Malevolo
Il payload malevolo include un componente per il furto di credenziali progettato per raccogliere discretamente dati a livello di browser e di sistema, raggruppare le informazioni e trasmetterle agli attaccanti. Inoltre, i ricercatori hanno identificato uno script all’interno del malware che prende di mira Telegram, estraendo sia il suo database locale crittografato che le relative chiavi di decrittazione.
Meccanismo di Attivazione
È interessante notare che il malware impiega un meccanismo di attivazione ritardata, aspettando dieci minuti prima di eseguire le sue operazioni in un apparente tentativo di eludere gli scanner di sicurezza.
