Peretas Korea Utara menggunakan jenis malware khusus yang dikenal sebagai NimDoor untuk menargetkan komputer macOS yang digunakan di Web3 dan perusahaan kripto, menurut rincian yang dibagikan oleh perusahaan riset keamanan siber. Pelaku ancaman dilaporkan menggunakan skrip bash untuk mengumpulkan dan mentransfer informasi sensitif, seperti data browser, kredensial Rantai Kunci iCloud, dan data pengguna Telegram. Serangan tersebut mengandalkan rekayasa sosial (melalui platform obrolan) dan skrip atau pembaruan berbahaya, seperti yang lain yang terkait dengan Republik Rakyat Demokratik Korea (DPRK).
NimDoor Mempertahankan Akses Setelah Penghentian Malware atau Reboot Sistem
Analisis malware NimDoor oleh Sentinel Labs menunjukkan bahwa pelaku ancaman terkait DPRK mengandalkan kombinasi biner dan skrip berbahaya yang ditulis dalam tiga bahasa: C++, Nim, dan AppleScript. Biner yang dikompilasi Nim ini dilaporkan digunakan untuk menargetkan komputer Mac yang digunakan di perusahaan kripto dan Web3.
Korban dihubungi melalui aplikasi perpesanan seperti Telegram, dan peretas menggunakan rekayasa sosial untuk meyakinkan seseorang untuk bergabung dengan panggilan menggunakan layanan penjadwalan seperti Calendly. Untuk menginfeksi sistem korban, pelaku ancaman mengirim email dengan skrip “pembaruan Zoom SDK” berbahaya yang menginstal malware secara diam-diam, sambil memungkinkannya berkomunikasi dengan server command and control (C2).
Setelah malware diinstal di komputer Mac target, peretas mengeksekusi skrip bash (terminal) untuk mengakses dan mengeksfiltrasi data dari browser seperti Google Chrome, Microsoft Edge, Arc, Brave, dan Firefox. Itu juga dapat mencuri kredensial Rantai Kunci iCloud dan data pengguna Telegram dari perangkat target.
Perusahaan riset keamanan siber juga mencatat bahwa malware NimDoor memiliki “mekanisme persistensi berbasis sinyal” (menggunakan penangan SIGINIT / SIGTERM) untuk menginstal ulang dirinya sendiri dan terus beroperasi pada perangkat target, bahkan jika proses berbahaya dihentikan, atau sistem di-boot ulang.
Anda dapat membaca lebih lanjut tentang malware NimDoor yang digunakan untuk menargetkan Web3 dan perusahaan kripto di situs web Sentinel Labs, yang mencakup penjelasan terperinci tentang bagaimana peretas Korea Utara menggunakan teknik baru untuk mendapatkan akses terus-menerus ke komputer korban.
Perusahaan juga memperingatkan bahwa pelaku ancaman semakin menggunakan bahasa pemrograman yang kurang populer untuk menargetkan korban. Ini karena mereka kurang akrab bagi analis dan menawarkan beberapa manfaat teknis dibandingkan bahasa yang lebih banyak digunakan, sekaligus menyulitkan untuk mendeteksi dan memblokir menggunakan langkah-langkah keamanan yang ada. .
Untuk berita dan ulasan teknologi terbaru, ikuti Gadgets 360 di X, Facebook, WhatsApp, Threads, dan Google News. Untuk video terbaru tentang gadget dan teknologi, berlangganan saluran YouTube kami. Jika Anda ingin tahu segalanya tentang influencer teratas, ikuti Who’sThat360 internal kami di Instagram dan YouTube.
Honor Watch 5 Ultra Diluncurkan Dengan Dukungan eSIM, Pelacakan EKG, Daya Tahan Baterai Hingga 15 Hari
