En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 

En ligne :

Rechercher

 

 

 

Nouveaux produits

SentinelLabs révèle un nouveau malware nord-coréen

Publication: 9 juillet

Partagez sur
 
MacOS NimDoor, qui cible les entreprises Web3 et crypto...
 

SentinelLabs, la division de recherche de SentinelOne, a découvert une campagne d’attaques sophistiquées ciblant les entreprises du Web3 et de la cryptomonnaie opérant sur macOS. Attribué à un groupe de menaces de la Corée du Nord (RPDC), ce nouveau malware baptisé NimDoor, combine des techniques avancées d’ingénierie sociale avec des technologies rarement utilisées dans l’écosystème macOS, notamment Nim, un langage peu courant qui complique fortement les analyses et détections.Une campagne bien orchestrée

L’attaque débute par une prise de contact via Telegram, incitant la victime à rejoindre une réunion Zoom. Un AppleScript malveillant, présenté comme une mise à jour du SDK Zoom, est alors exécuté, déclenchant le téléchargement du malware. Lachaîne d’attaque sophistiquée, composée de multiples couches de chiffrement, exécution asynchrone difficile à retracer et architecture modulaire, est ensuite lancée. NimDoor exploite également une injection de processus, technique rarement observée dans les malwares macOS, et communique à distance avec les serveurs des attaquants via WSS.

Enfin, un mécanisme de persistance permet au malware de se réinstaller automatiquement, même en cas de redémarrage ou detentative de suppression, en détournant les gestionnaires de signaux système SIGINT et SIGTERM.

Une attaque difficile à détecter

Contrairement aux malwares habituels, NimDoor utilise Nim, un langage de programmation rare, souvent combiné à du code C++, compliquant sa détection. Il est capable de voler des historiques de navigation, des données Telegram ou encore des identifiants stockés dans le Trousseau macOS, à l’aide de scripts Bash. Ces données sont ensuite chiffrées et exfiltrées sans alerter la victime.

Une menace pour les technologies émergentes

Cette campagne témoigne de la montée en puissance des tactiques, techniques et procédures (TTP) des groupes APT nord-coréens. En ciblant les entreprises du secteur Web3, domaine en forte croissance mais souvent moins bien protégé que les infrastructures traditionnelles, les hackers montrent leur capacité à adapter leurs méthodes : usage de langages non conventionnels, persistance renforcée, architecture modulaire, communications chiffrées et dissimulation sophistiquée.

SentinelLabs met à disposition une analyse technique complète pour aider les équipes de défense à détecter et neutraliser cette menace. Le rapport est disponible ICI

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: