Uma nova campanha de ataques cibernéticos foi identificada por pesquisadores de segurança da SentinelOne. De acordo com o relatório técnico, grupos hacker associados ao governo da Coreia do Norte estão utilizando métodos sofisticados para invadir computadores com sistema operacional macOS. O objetivo principal desses ataques é obter acesso a informações e roubar criptomoedas.
O método de infecção começa com abordagens através do aplicativo Telegram. Os atacantes se passam por contatos conhecidos das vítimas, enviando convites para falsas reuniões no Zoom. Posteriormente, as vítimas recebem e-mails contendo links maliciosos disfarçados como atualizações legítimas do software Zoom. Esses links, na realidade, distribuem um malware identificado como NimDoor.
O malware utiliza técnicas avançadas de ofuscação para evitar detecção, incluindo a inserção de milhares de linhas de código vazio em seus arquivos. Após a instalação inicial, o NimDoor baixa e executa componentes adicionais que permitem aos atacantes controlar remotamente o sistema comprometido.
Novas técnicas aplicadas para roubar criptomoedas
Entre as técnicas empregadas pelos atacantes para roubar criptomoedas, destacam-se a injeção de código malicioso em processos legítimos do sistema operacional, o uso de comunicações criptografadas através do protocolo WebSocket (wss), e um mecanismo de persistência que se mantém ativo mesmo após reinicializações do sistema. Essas características tornam o malware particularmente difícil de detectar e remover.
Os sistemas infectados têm diversos tipos de informações sensíveis coletadas pelos atacantes. Isso inclui credenciais armazenadas no Keychain do macOS, dados de navegadores web como Chrome e Firefox, histórico de conversas no Telegram e informações relacionadas a carteiras de criptomoedas. A análise técnica sugere que o foco principal são organizações do ecossistema Web3 e de criptomoedas.
Confira nossas sugestões de Pre-Sales para investir agora
Uma característica notável dessa campanha é o uso de linguagens de programação menos convencionais, como Nim e Crystal, no desenvolvimento do malware. Essa escolha parece ter como objetivo dificultar a detecção por sistemas de segurança tradicionais, que podem ter menor familiaridade com códigos desenvolvidos nessas linguagens.
Para proteção contra esse tipo de ameaça, especialistas recomendam verificar cuidadosamente todos os links e anexos recebidos, mesmo que aparentem vir de fontes confiáveis. É essencial baixar atualizações de software apenas de fontes oficiais e manter o sistema operacional e aplicativos de segurança sempre atualizados. O monitoramento regular de processos em execução no sistema também pode ajudar a identificar atividades suspeitas.
O relatório técnico completo, disponível no site da SentinelOne, fornece detalhes adicionais sobre os vetores de ataque, técnicas específicas utilizadas e indicadores de comprometimento que podem ser usados para detecção e prevenção. Essas informações são particularmente relevantes para organizações do setor de criptomoedas e tecnologia que utilizam sistemas macOS em suas operações.
