Dans un monde numérique en constante évolution, la cybersécurité est cruciale. Récemment, des malwares macOS ont ciblé des startups crypto via une fausse mise à jour de Zoom. Ces attaques soulignent les menaces croissantes dans l’écosystème technologique, mettant en péril des entreprises comme Coinbase et Binance.

Malware macOS : Une nouvelle menace ciblant les startups crypto

Les hackers nord-coréens ont récemment lancé une campagne de malware macOS sophistiquée, visant principalement les entreprises du secteur de la crypto-monnaie. Ce malware, surnommé « NimDoor » par les chercheurs de SentinelLabs, se distingue des menaces habituelles sur macOS par son utilisation de techniques d’injection de processus et de communication à distance via le protocole WebSocket.

Mécanismes d’attaque

Description de l’attaque

Selon le rapport de SentinelLabs, les acteurs malveillants de la République populaire démocratique de Corée (DPRK) exploitent des binaires compilés en Nim et mettent en œuvre plusieurs chaînes d’attaque. Cette campagne est particulièrement inquiétante car elle combine des scripts AppleScript, Bash, C++, et Nim afin d’exfiltrer des données tout en maintenant un accès continu aux systèmes compromis.

Techniques et outils utilisés

Les techniques et outils utilisés dans cette campagne sont variés :

• Injection de processus : Les hackers emploient une méthode peu courante pour le malware macOS, permettant ainsi une infiltration discrète.
• Mécanisme de persistance : Un nouvel mécanisme exploite les gestionnaires de signaux SIGINT/SIGTERM pour garantir que le malware se réinstalle après un redémarrage ou une terminaison du processus.
• Bash scripts : Utilisés pour extraire des informations sensibles telles que les identifiants de Keychain, les données de navigateurs, et les informations d’utilisateur Telegram.

Fonctionnement de NimDoor

Phases de l’attaque

Les victimes sont approchées par le biais de l’ingénierie sociale. Un contact de confiance, impersonné via Telegram, invite la cible à planifier un appel via Calendly. Ensuite, un courriel est envoyé avec un lien Zoom falsifié et des instructions pour exécuter une mise à jour fictive du SDK Zoom. SentinelLabs souligne que le fichier est "fortement rembourré", contenant 10 000 lignes d’espaces vides pour masquer ses véritables fonctions.

Exécution et exfiltration

Lorsque le fichier est exécuté, il déclenche une série d’événements complexes qui établissent une connexion cryptée avec un serveur de commande et de contrôle. Le malware inclut également une logique de sauvegarde pour réinstaller les composants clés si le système est redémarré ou si le processus est interrompu.

Chaine d’exécution une fois le mécanisme de persistance activé.

Après l’installation des binaires et des mécanismes de persistance, le malware utilise des scripts Bash pour extraire et exfiltrer des informations d’identification et des données sensibles, y compris celles de Keychain, des navigateurs, et de Telegram.

Analyse technique approfondie

Pour ceux qui souhaitent approfondir le fonctionnement de cette attaque, le rapport de SentinelLabs fournit des listings de hachages complets, des extraits de code, des captures d’écran et des diagrammes de flux d’attaque. On y trouve également une analyse détaillée de chaque étape, de la mise à jour Zoom falsifiée à l’exfiltration finale des données.

Les chercheurs soulignent que NimDoor représente un changement vers des langages plus complexes et moins familiers dans le malware macOS, s’éloignant des Go, Python et scripts shell habituellement utilisés par les acteurs de la menace nord-coréenne.

Pour un aperçu complet des menaces en cours, vous pouvez consulter le rapport complet de SentinelLabs.

Conclusion

Cette campagne de malware met en lumière la nécessité d’une vigilance accrue au sein des entreprises du secteur de la crypto. La sophistication croissante des techniques utilisées par les hackers souligne l’importance de la sécurité informatique et de la sensibilisation des employés face aux menaces en ligne.