De acordo com o ShibDaily, hackers norte-coreanos lançaram uma nova campanha de ciberataques direcionada a empresas de criptomoeda, implantando uma sofisticada cepa de malware conhecida como NimDoor. Este malware é projetado para infiltrar dispositivos Apple, contornando as proteções de memória integradas para extrair dados sensíveis de carteiras de criptomoeda e navegadores.

O ataque começa com táticas de engenharia social em plataformas como o Telegram, onde hackers se fazem passar por contatos de confiança para envolver as vítimas em conversa. Eles então convidam o alvo para uma reunião falsa no Zoom, disfarçada como uma sessão do Google Meet, e enviam um arquivo que imita uma atualização legítima do Zoom. Este arquivo serve como o método de entrega para o payload malicioso. Uma vez executado, o malware instala o NimDoor no dispositivo da vítima, que prossegue para coletar informações sensíveis, visando especificamente carteiras de criptomoeda e credenciais de navegadores armazenadas.

Pesquisadores da empresa de cibersegurança SentinelLabs descobriram essa nova tática, observando que o uso da linguagem de programação Nim distingue esse malware. Binários compilados em Nim são raramente vistos direcionados ao macOS, tornando o malware menos reconhecível para ferramentas de segurança convencionais e potencialmente mais difícil de analisar e detectar. Os pesquisadores observaram que os atores de ameaças norte-coreanos já experimentaram linguagens de programação como Go e Rust, mas a mudança para Nim reflete uma vantagem estratégica devido às suas capacidades multiplataforma. Isso permite que a mesma base de código funcione em Windows, Linux e macOS sem modificação, aumentando a eficiência e o alcance de seus ataques.

O payload malicioso inclui um componente de roubo de credenciais projetado para coletar discretamente dados de navegador e de nível de sistema, agrupar as informações e transmiti-las para os atacantes. Além disso, os pesquisadores identificaram um script dentro do malware que visa o Telegram, extraindo tanto seu banco de dados local criptografado quanto as chaves de descriptografia correspondentes. Notavelmente, o malware emprega um mecanismo de ativação retardada, aguardando dez minutos antes de executar suas operações em um aparente esforço para evadir scanners de segurança.