NimDoor-Malware
Cybersicherheitsexperten haben eine neue, heimliche macOS-Malware-Familie namens NimDoor entdeckt. Diese stellt aufgrund ihrer fortschrittlichen Persistenztechniken, heimlichen Datendiebstahlmechanismen und ausgeklügelten Ausweichmöglichkeiten eine ernsthafte Bedrohung dar. Diese bösartige Kampagne wird nordkoreanischen Bedrohungsakteuren zugeschrieben, die es auf den Web3- und Kryptowährungssektor abgesehen haben.
Inhaltsverzeichnis
Nordkoreanische Hacker wechseln zu Nim und macOS
Bedrohungsakteure, die mutmaßlich mit Nordkorea in Verbindung stehen, nutzen nun die Programmiersprache Nim in ihrem Malware-Arsenal. Dies markiert eine kontinuierliche Weiterentwicklung ihres Toolkits, nachdem frühere Kampagnen Sprachen wie Go und Rust nutzten. Der neue Einsatz von Nim zeugt von Innovationsbereitschaft, insbesondere bei der Entwicklung plattformübergreifender Bedrohungen, die schwer zu erkennen und zu analysieren sind.
Bei dieser Kampagne haben es die Angreifer speziell auf Web3 und auf Kryptowährungen fokussierte Organisationen abgesehen, was darauf schließen lässt, dass es sich um finanziell motivierte Operationen handelt, die ein Interesse daran haben, die digitale Finanzinfrastruktur zu stören oder zu infiltrieren.
Äußerst ungewöhnliche macOS-Techniken
Was NimDoor besonders besorgniserregend macht, ist sein unkonventioneller Ansatz zur Infektion von macOS. Insbesondere verwendet es:
- Prozessinjektion, eine seltene Technik für macOS-Malware, die es der Bedrohung ermöglicht, legitime Prozesse zu kapern und zu manipulieren.
- WSS-Kommunikationskanäle (WebSocket Secure) für verschlüsselte C2-Interaktionen.
- Eine neuartige Persistenzmethode, die SIGINT- und SIGTERM-Signalhandler nutzt und es der Malware ermöglicht, sich beim Beenden oder Neustart des Systems neu zu installieren.
Diese Funktionen ermöglichen es, unauffällig zu bleiben und gegenüber häufigen, vom Benutzer oder System verursachten Störungen widerstandsfähig zu bleiben.
Angriffskette basierend auf Social Engineering
Der Angriff beginnt mit einer Social-Engineering-Strategie:
- Die Opfer werden über Plattformen wie Telegram kontaktiert und dazu verleitet, mit Calendly ein Zoom-Meeting zu planen.
- Sie erhalten eine gefälschte E-Mail mit einem Zoom SDK-Update-Skript, angeblich um die Kompatibilität mit der Videokonferenzsoftware sicherzustellen.
Dies führt zur Ausführung eines bösartigen AppleScripts, das ein Skript der zweiten Stufe von einem Remote-Server herunterlädt und den Benutzer gleichzeitig auf einen legitimen Zoom-Link umleitet. Das Skript der zweiten Stufe extrahiert ZIP-Archive mit:
- Binärdateien zum Herstellen der Persistenz
- Bash-Skripte zum Stehlen von Systemdaten
Die Rolle von InjectWithDyldArm64
Im Zentrum des Infektionsprozesses steht ein C++-Loader namens InjectWithDyldArm64 oder einfach InjectWithDyld. Diese Komponente ist entscheidend für die effektive und verdeckte Verbreitung der Schadsoftware. Zunächst entschlüsselt er zwei eingebettete Binärdateien, eine mit dem Namen „Target“ und die andere mit dem Namen „trojan1_arm64“. Nach der Entschlüsselung startet er den Target-Prozess in einem angehaltenen Zustand. Während der Prozess angehalten ist, injiziert der Loader die Binärdatei „trojan1_arm64“ und setzt die Ausführung fort. Diese Methode ermöglicht die äußerst heimliche Bereitstellung und Aktivierung der Schadsoftware, umgeht Standard-Systemabwehrmechanismen und minimiert das Erkennungsrisiko.
Diebstahl von Anmeldeinformationen und Systemüberwachung
Sobald die Malware aktiv ist, stellt sie eine Verbindung zu einem Remote-Command-and-Control-Server (C2) her und kann so verschiedene schädliche Aktionen ausführen. Dazu gehören das Sammeln detaillierter Systeminformationen, die Ausführung beliebiger Remote-Befehle, das Navigieren durch verschiedene Verzeichnisse und die Übermittlung der Ergebnisse dieser Aktionen an den Angreifer.
Die Bedrohung wird durch die Komponente trojan1_arm64 verstärkt, die den Angriff durch den Abruf zweier weiterer Nutzdaten aus der C2-Infrastruktur verstärkt. Diese Nutzdaten sind speziell darauf ausgelegt, vertrauliche Informationen abzugreifen. Ihre Hauptziele sind Anmeldedaten, die in gängigen Webbrowsern – Arc, Brave, Chrome, Edge und Firefox – gespeichert sind, sowie Benutzerdaten der Messaging-Anwendung Telegram.
Persistenzmechanismen
Neben ihren Hauptkomponenten setzt die Malware auch Nim-basierte ausführbare Dateien ein, die ein Modul namens CoreKitAgent aktivieren. Dieses Modul spielt eine entscheidende Rolle für die Widerstandsfähigkeit der Malware, indem es sie auf alle Versuche überwacht, ihren Betrieb zu beenden. Um ihre Präsenz aufrechtzuerhalten, installiert sie benutzerdefinierte Signalhandler für SIGINT und SIGTERM. Dadurch wird ein automatischer Neustart ermöglicht, wenn ein Benutzer oder ein Sicherheitstool versucht, sie zu beenden. Dieser integrierte Mechanismus erhöht die Persistenz der Malware erheblich.
Die Angreifer nutzen AppleScript intensiv und nutzen es nicht nur während der anfänglichen Infektionsphase, sondern auch während des gesamten Malware-Betriebs zur laufenden Überwachung und Kontrolle. Mithilfe dieser Skriptfunktion sendet die Malware alle 30 Sekunden Beacons an fest codierte C2-Server, extrahiert Details über laufende Prozesse und führt neue Befehle des Angreifers aus.
Warum Nim Malware gefährlicher macht
Die Verwendung der Programmiersprache Nim bietet Angreifern erhebliche Vorteile. Nims Fähigkeit, Funktionen zur Kompilierzeit auszuführen, ermöglicht ihnen Folgendes:
- Einbetten komplexer Logik, die schwer zu erkennen ist
- Verschleiern Sie den Kontrollfluss innerhalb von Binärdateien
- Vermischen Sie Entwickler- und Laufzeitcode, was die Analyse erheblich erschwert
Dies führt zu kompakten, hochfunktionalen Binärdateien mit eingeschränkter Sichtbarkeit für herkömmliche Malware-Erkennungs-Engines.
NimDoor ist ein deutlicher Hinweis darauf, dass macOS nicht länger immun gegen fortgeschrittene, persistente Bedrohungen ist. Da nordkoreanische Akteure diese Plattform nun mit neuen Techniken und weniger bekannten Programmiersprachen ins Visier nehmen, ist es wichtiger denn je, informiert und wachsam zu bleiben.
