Hackers norte-coreanos lançaram uma sofisticada campanha de ciberespionagem direcionada a startups de Web3 e criptomoedas, desplegando um novo malware focado em Mac chamado NimDoor. De acordo com a SentinelLabs, os atacantes usam uma combinação de táticas de programação avançadas e engenharia social para infiltrar sistemas e roubar dados sensíveis.
Atualizações Falsas de Reunião do Zoom Usadas como Isca
O ataque começa quando hackers se fazem passar por contatos de confiança no Telegram, pedindo que os alvos agendem reuniões via Calendly. As vítimas então recebem e-mails de phishing disfarçados de notificações de atualização do Zoom, que incluem links de reunião falsificados. Esses e-mails levam os usuários a baixar arquivos de domínios feitos para imitar URLs legítimos do Zoom, como support.us05web-zoom.forum e support.us05web-zoom.cloud.
O instalador de malware—nomeado com erros sutis como "Zook SDK Update" em vez de "Zoom SDK Update"—inclui dezenas de milhares de linhas de espaço em branco para ocultar sua intenção maliciosa. Dentro deste script inchado, apenas algumas linhas de código iniciam a infecção real ao baixar e executar cargas adicionais de servidores controlados pelos atacantes.
Uma vez ativado, o malware abre uma página de redirecionamento real do Zoom ao lado de um arquivo HTML enganoso para tornar o processo aparente autêntico, tudo enquanto lança seu ataque em segundo plano.
Capacidades do Malware NimDoor
O NimDoor opera através de duas funções principais uma vez que infecta um Mac:
1. Roubo de Dados: Ele coleta dados pessoais, incluindo senhas, histórico de navegação e credenciais de login de navegadores como Chrome, Firefox, Edge, Brave e Arc. Também acessa chaveiros do sistema e registros de histórico de comandos.
2. Alvo do Telegram: Um componente especializado extrai bancos de dados de chat do Telegram criptografados e chaves de descriptografia correspondentes, permitindo que os atacantes leiam mensagens privadas offline.
Todos os dados roubados são temporariamente armazenados em pastas ocultas com nomes que imitam arquivos legítimos do sistema, antes de serem exfiltrados via conexões criptografadas para servidores controlados pelos atacantes.
Furtividade Avançada e Persistência
O NimDoor é escrito em Nim e C++, linguagens que muitas vezes evitam a detecção tradicional de antivírus. Ele se comunica com servidores de comando e controle através de canais criptografados e usa nomes de arquivos e locais enganosos para permanecer indetectável.
A persistência é um foco chave deste malware. Ele monitora as tentativas do usuário de removê-lo e responde reinstalando-se a partir de backups ocultos. Ele se disfarça usando nomes de arquivos relacionados ao sistema ligeiramente incorretos e garante que seja iniciado automaticamente na inicialização do sistema.
Um componente leve verifica com servidores atacantes a cada 30 segundos para relatar atividades e receber novos comandos, tudo enquanto imita tráfego web legítimo. Um atraso embutido de 10 minutos antes da ativação completa ajuda a evitar ser sinalizado por ferramentas de segurança que escaneiam ameaças imediatas.
Essas técnicas tornam o NimDoor excepcionalmente difícil para usuários típicos detectarem ou removerem sem intervenção de especialistas. A escala e complexidade da campanha sugerem que é parte de uma operação mais ampla e contínua que visa múltiplas vítimas com domínios de phishing personalizados.
-