Une nouvelle menace pour les startups de crypto-monnaie : un malware macOS se propage via de fausses mises à jour de Zoom. Cette attaque sophistiquée vise des entreprises comme Coinbase et Binance, exposant des données sensibles et compromettant la sécurité. Restez vigilant face à cette cyberattaque croissante.

Malware macOS : Une menace ciblant les startups crypto avec une fausse mise à jour Zoom

Origine et fonctionnement de NimDoor

Le malware, surnommé NimDoor, a été identifié par des chercheurs de SentinelLabs comme étant lié à des hackers nord-coréens. Ce logiciel malveillant se distingue par sa sophistication et sa capacité à cibler l’industrie de la crypto-monnaie. En utilisant des invitations Zoom falsifiées, les attaquants parviennent à tromper leurs victimes pour qu’elles téléchargent un fichier malveillant.

Le fonctionnement de NimDoor repose sur une combinaison de langages de programmation, notamment AppleScript, Bash, C++, et Nim. Cette approche permet d’exfiltrer des données et de maintenir un accès continu aux systèmes compromis.

Détails techniques du malware

Selon le rapport de SentinelLabs, voici les points clés de cette campagne malveillante :

• Les acteurs menaçants de la République Populaire Démocratique de Corée (DPRK) utilisent des binaires compilés avec Nim et mettent en œuvre plusieurs chaînes d’attaques pour cibler les entreprises liées à Web3 et à la crypto.
• Ils appliquent une technique d’injection de processus, ce qui est atypique pour le malware macOS, et communiquent à distance via un protocole WebSocket sécurisé (wss).
• Un mécanisme de persistance innovant exploite les gestionnaires de signaux SIGINT/SIGTERM pour réinstaller les composants clés lorsque le malware est arrêté ou que le système redémarre.
• Les scripts AppleScript sont largement utilisés, tant pour obtenir un accès initial que pour fonctionner comme des balises légères et des portes dérobées dans la chaîne d’attaque.
• Des scripts Bash sont employés pour exfiltrer des identifiants de Keychain, des données de navigateurs, ainsi que des informations d’utilisateurs de Telegram.

Comment l’attaque se déroule

L’attaque commence par une technique d’ingénierie sociale. Les victimes reçoivent des messages via Telegram de personnes se faisant passer pour des contacts de confiance. Elles sont alors invitées à programmer un appel via Calendly. Après quoi, un email de suivi contenant un lien Zoom falsifié et des instructions pour exécuter une fausse "mise à jour du SDK Zoom" est envoyé. Selon SentinelLabs, le fichier en question est gonflé, contenant 10 000 lignes d’espaces vides pour masquer sa véritable fonction.

Lorsque ce fichier est exécuté, il déclenche une série d’événements complexes qui établissent une connexion chiffrée avec un serveur de commandement et de contrôle. De plus, il inclut une logique de secours qui réinstalle les composants essentiels si le système est redémarré ou si le processus du malware est interrompu.

Exécution et exfiltration des données

Une fois que tous les binaires du malware et les mécanismes de persistance sont en place, celui-ci utilise des scripts Bash pour extraire et exfiltrer des identifiants et des données sensibles, y compris des identifiants de Keychain, des données de navigateurs et des informations d’utilisateurs de Telegram.

Analyse approfondie

Pour ceux qui souhaitent explorer les aspects techniques de cette attaque, le rapport de SentinelLabs fournit des listings de hash complets, des extraits de code, des captures d’écran, et des diagrammes de flux d’attaque. Ce document offre également une analyse détaillée de chaque étape, depuis la fausse mise à jour Zoom jusqu’à l’exfiltration finale de données.

Les chercheurs notent que NimDoor témoigne d’un changement vers des langages multiplateformes plus complexes et moins familiers dans le malware macOS, dépassant les scripts Go, Python et shell typiquement utilisés par les acteurs menaçants nord-coréens dans le passé.

Pour une lecture plus détaillée sur le sujet, vous pouvez consulter l’article de SentinelLabs ici.

Réflexions sur les menaces numériques

Ces types de cyberattaques soulèvent des inquiétudes croissantes parmi les utilisateurs et les entreprises, en particulier dans le domaine de la technologie et de la finance. La sophistication croissante des techniques utilisées par les cybercriminels crée un besoin urgent de vigilance et de sécurité renforcée.