Hackers norte-coreanos lançaram uma campanha sofisticada de malware visando empresas Web3 e de criptomoedas usando o malware NimDoor.

A SentinelLabs identificou métodos avançados de ataque que combinam engenharia social com técnicas de programação complexas para infiltrar sistemas Mac e roubar informações sensíveis.

Hackers norte-coreanos enganam vítimas através de atualizações falsas de reuniões do Zoom

Os atacantes norte-coreanos começam seus ataques se passando por contatos conhecidos através de mensagens do Telegram, solicitando posteriormente que suas vítimas organizem reuniões através de páginas de agendamento do Calendly. As vítimas são convidadas por e-mail a baixar o que parece ser uma atualização legítima do software Zoom, com links de reuniões do Zoom falsificados incorporados.

Os atacantes criam domínios que contêm arquivos maliciosos apresentados como arquivos de atualização de suporte do Zoom, com nomes de domínio que são projetados para se assemelhar a URLs reais de reuniões do Zoom. Os domínios falsificados contêm variações como support.us05web-zoom.forum e support.us05web-zoom.cloud, que são muito semelhantes aos domínios da web do Zoom conhecidos pelos usuários.

North Korean hackers unleash Nim-based malware on Web3 and crypto networks.O zoom_sdk_support.scpt é preenchido com 10 mil linhas de espaço em branco; note o erro de digitação 'Zook' e a barra de rolagem, no canto superior direito. Fonte: Sentinel Labs.

Os programas de ataque têm milhares de linhas de espaço em branco para esconder seu propósito, fazendo-os parecer maiores e mais naturais do que simples programas de ataque. Ocultas nesses programas estão apenas três linhas de código de ataque que baixam e executam outros módulos de ataque de servidores operados pelos hackers.

Pesquisadores da SentinelLabs descobriram múltiplos domínios simultâneos usados pelos mesmos atacantes, o que apontava para uma campanha em larga escala que estava impactando inúmeras vítimas com endereços web personalizados para cada vítima. Os erros de digitação dos arquivos de atualização falsificados, como “Zook SDK Update” em vez de “Zoom SDK Update”, são mais facilmente detectáveis e rastreáveis por pesquisadores de segurança.

Uma vez que a atualização falsificada é executada pelas vítimas, o malware carrega uma URL de redirecionamento legítima do Zoom com um arquivo HTML. Isso apresenta a infecção inicial como legítima enquanto inicia clandestinamente os componentes principais do ataque nos bastidores. Isso é para enganar as vítimas, levando-as a acreditar que elas executaram com sucesso um processo padrão de atualização de software.

O malware NimDoor rouba senhas e dados pessoais

A campanha de malware NimDoor utiliza dois caminhos de ataque separados assim que consegue infectar com sucesso os computadores das vítimas. O primeiro caminho concentra-se em roubar informações pessoais, incluindo senhas, dados de navegador e históricos de chat de aplicativos populares. O segundo caminho estabelece acesso a longo prazo a sistemas comprometidos através de programas ocultos em segundo plano.

O malware visa vários navegadores da web, incluindo Google Chrome, Firefox, Microsoft Edge, Brave e Arc, copiando senhas armazenadas, histórico de navegação e informações de login salvas. Ele também rouba senhas do sistema armazenadas nos sistemas de gerenciamento de senhas embutidos dos computadores Mac e copia arquivos de histórico de comandos que mostram quais programas os usuários executaram.

Um componente especializado visa especificamente os dados de mensagens do Telegram, roubando bancos de dados de chat criptografados e chaves de decriptação que permitem aos atacantes ler conversas privadas offline. As informações roubadas do Telegram incluem tanto os arquivos de mensagens criptografadas quanto as chaves especiais necessárias para desbloquear e ler essas mensagens.

Todas as informações roubadas são embaladas e enviadas para servidores controlados pelos atacantes através de conexões criptografadas. O malware cria pastas ocultas em computadores infectados para armazenar temporariamente os dados copiados antes da transmissão, usando nomes projetados para parecer arquivos de sistema legítimos.

O ataque utiliza linguagens de programação avançadas, incluindo Nim e C++, que muitos programas de segurança têm dificuldade em detectar. O malware inclui recursos que ajudam a evitar a detecção por software de segurança, como comunicar-se através de conexões web criptografadas e usar nomes e locais de arquivos que parecem legítimos.

Os atacantes projetaram o malware para funcionar especificamente em computadores Mac, aproveitando recursos embutidos do Mac para ocultar suas atividades e manter acesso persistente a sistemas infectados.

Métodos avançados de persistência garantem que o malware sobreviva

O malware NimDoor inclui métodos para manter o acesso a computadores infectados mesmo após os usuários reiniciarem seus sistemas ou tentarem remover o software malicioso. Os atacantes usam uma abordagem inteligente que reinstala automaticamente o malware sempre que os usuários tentam encerrá-lo ou excluí-lo.

Quando os usuários tentam parar o processo do malware ou desligar seus computadores, o malware captura esses sinais de término e imediatamente escreve cópias de backup de si mesmo em locais ocultos no sistema infectado. Isso cria uma situação em que tentar remover o malware realmente aciona seu processo de reinstalação.

O malware cria arquivos de sistema falsos com nomes projetados para parecer legítimos, como a criação de pastas nomeadas após serviços do Google, mas com diferenças sutis de ortografia que os usuários geralmente não notam. Esses arquivos falsos obtêm permissões de inicialização automática que fazem o malware rodar toda vez que o computador é ligado.

Um componente chave atua como um programa de monitoramento leve que checa com servidores dos atacantes a cada 30 segundos, enviando informações sobre programas em execução e esperando por novos comandos. Esse monitoramento acontece através de conexões aparentemente inocentes que parecem semelhantes ao tráfego normal da web.

O malware também inclui um atraso de 10 minutos antes de se tornar totalmente ativo, o que ajuda a evitar a detecção por software de segurança que procura por comportamentos imediatamente suspeitos. Esse atraso faz com que o malware pareça um programa normal que leva tempo para iniciar.

Esses métodos de persistência pelos hackers norte-coreanos tornam o malware particularmente difícil para usuários comuns removerem completamente. Também geralmente requer ferramentas de segurança especializadas ou assistência profissional para limpar completamente sistemas infectados.

DIFERENÇA CHAVE Wire: a ferramenta secreta que projetos de criptomoedas usam para garantir cobertura na mídia