Logiciel malveillant NimDoor

Des professionnels de la cybersécurité ont découvert une nouvelle famille de logiciels malveillants furtifs pour macOS, baptisée NimDoor. Cette menace est sérieuse grâce à ses techniques de persistance avancées, ses mécanismes de vol de données furtifs et ses capacités d'évasion sophistiquées. Cette campagne malveillante est attribuée à des acteurs malveillants proches de la Corée du Nord ciblant les secteurs du Web3 et des cryptomonnaies.

Les pirates informatiques nord-coréens se tournent vers Nim et macOS

Les acteurs malveillants soupçonnés d'être liés à la Corée du Nord utilisent désormais le langage de programmation Nim dans leur arsenal de logiciels malveillants. Cela marque une évolution constante de leur arsenal d'outils, les campagnes précédentes utilisant des langages comme Go et Rust. Cette nouvelle utilisation de Nim témoigne d'une volonté d'innovation, notamment dans la conception de menaces multiplateformes difficiles à détecter et à analyser.

Dans cette campagne, les attaquants ciblent spécifiquement les organisations axées sur le Web3 et les cryptomonnaies, suggérant une opération motivée par des raisons financières et ayant pour intérêt de perturber ou d'infiltrer l'infrastructure financière numérique.

Techniques macOS très inhabituelles

Ce qui rend NimDoor particulièrement inquiétant, c'est son approche non conventionnelle de l'infection de macOS. Il utilise notamment :

• L'injection de processus, une technique rare pour les logiciels malveillants macOS, permet à la menace de détourner et de manipuler des processus légitimes.
• Canaux de communication WSS (WebSocket Secure) pour les interactions C2 cryptées.
• Une nouvelle méthode de persistance qui exploite les gestionnaires de signaux SIGINT et SIGTERM, permettant au malware de se réinstaller lorsqu'il est terminé ou lors du redémarrage du système.

Ces fonctionnalités lui permettent de maintenir un profil bas et de rester résilient face aux perturbations courantes initiées par les utilisateurs ou le système.

Chaîne d’attaque alimentée par l’ingénierie sociale

L'attaque commence par une stratégie d'ingénierie sociale :

• Les victimes sont contactées via des plateformes comme Telegram et incitées à planifier une réunion Zoom à l'aide de Calendly.
• Ils reçoivent un faux e-mail contenant un script de mise à jour du SDK Zoom, censé garantir la compatibilité avec le logiciel de visioconférence.

Cela entraîne l'exécution d'un script AppleScript malveillant, qui télécharge un script de deuxième étape depuis un serveur distant tout en redirigeant l'utilisateur vers un lien Zoom légitime. Ce script extrait des archives ZIP contenant :

• Binaires pour établir la persistance
• Scripts Bash pour voler des données système

Le rôle d’InjectWithDyldArm64

Au cœur du processus d'infection se trouve un chargeur C++ appelé InjectWithDyldArm64, ou simplement InjectWithDyld. Ce composant est essentiel au déploiement efficace et discret du malware. Il commence par déchiffrer deux binaires intégrés, l'un nommé « Target » et l'autre « trojan1_arm64 ». Après le déchiffrement, il lance le processus Target en mode suspendu. Une fois le processus suspendu, le chargeur y injecte le binaire trojan1_arm64, puis reprend son exécution. Cette méthode permet aux charges utiles malveillantes d'être diffusées et activées de manière très furtive, contournant les défenses système standard et minimisant les risques de détection.

Vol d’identifiants et surveillance du système

Une fois actif, le logiciel malveillant établit une connexion avec un serveur de commande et de contrôle (C2) distant, ce qui lui permet d'effectuer plusieurs opérations malveillantes. Celles-ci incluent la collecte d'informations système détaillées, l'exécution de commandes arbitraires émises à distance, la navigation dans différents répertoires et la transmission des résultats de ces actions à l'attaquant.

La menace s'intensifie avec l'intervention du composant trojan1_arm64, qui renforce l'attaque en récupérant deux charges utiles supplémentaires dans l'infrastructure C2. Ces charges utiles sont conçues spécifiquement pour collecter des informations sensibles. Leurs principales cibles sont les identifiants de connexion stockés dans les navigateurs web les plus répandus (Arc, Brave, Chrome, Edge et Firefox), ainsi que les données utilisateur de l'application de messagerie Telegram.

Mécanismes de persistance

Outre ses composants principaux, le malware déploie également des exécutables basés sur Nim qui activent un module appelé CoreKitAgent. Ce module joue un rôle essentiel dans la résilience du malware en surveillant toute tentative d'interruption de son activité. Pour maintenir sa présence, il installe des gestionnaires de signaux personnalisés pour SIGINT et SIGTERM, lui permettant de se relancer automatiquement si un utilisateur ou un outil de sécurité tente de l'arrêter. Ce mécanisme intégré renforce considérablement la persistance du malware.

Les attaquants utilisent également largement AppleScript, l'utilisant non seulement pendant la phase initiale d'infection, mais aussi tout au long du fonctionnement du malware pour une surveillance et un contrôle continus. Grâce à cette capacité de script, le malware envoie des balises périodiques toutes les 30 secondes aux serveurs C2 codés en dur, exfiltre les informations sur les processus en cours d'exécution et exécute les nouvelles commandes émises par l'acteur malveillant distant.

Pourquoi Nim rend les logiciels malveillants plus dangereux

L'utilisation du langage de programmation Nim confère aux attaquants des avantages notables. Sa capacité à exécuter des fonctions à la compilation leur permet :

• Intégrer une logique complexe difficile à détecter
• Obscurcir le flux de contrôle dans les binaires
• Mélanger le code du développeur et celui du runtime, ce qui rend l'analyse beaucoup plus difficile

Cela conduit à des binaires compacts et très fonctionnels avec une visibilité réduite pour les moteurs de détection de logiciels malveillants traditionnels.

NimDoor nous rappelle brutalement que macOS n'est plus à l'abri des menaces persistantes avancées. Alors que des acteurs nord-coréens ciblent désormais cette plateforme à l'aide de techniques évolutives et de langages de programmation moins connus, rester informé et vigilant est plus crucial que jamais.