Menurut ShibDaily, peretas dari Korea Utara meluncurkan kampanye serangan siber baru yang menargetkan perusahaan cryptocurrency, dengan menyebarkan varian malware canggih yang dikenal sebagai NimDoor.
Malware ini dirancang untuk menyusup ke perangkat Apple, menghindari perlindungan memori bawaan untuk mengekstrak data sensitif dari dompet cryptocurrency dan browser.
Serangan dimulai dengan taktik rekayasa sosial di platform seperti Telegram, di mana peretas berpura-pura menjadi kontak tepercaya untuk melibatkan korban dalam percakapan. Mereka kemudian mengundang target untuk pertemuan palsu di Zoom, yang disamarkan sebagai sesi Google Meet, dan mengirimkan berkas yang meniru pembaruan resmi Zoom.
Berkas ini berfungsi sebagai metode pengiriman untuk payload berbahaya. Begitu dijalankan, malware menginstal NimDoor di perangkat korban, yang kemudian mengumpulkan informasi sensitif, khususnya menargetkan dompet cryptocurrency dan kredensial yang disimpan di browser.
Peneliti dari perusahaan keamanan siber SentinelLabs menemukan taktik baru ini, dengan memperhatikan bahwa penggunaan bahasa pemrograman Nim membedakan malware ini. Biner yang dikompilasi dalam Nim jarang terlihat menargetkan macOS, menjadikan malware ini kurang dikenali oleh alat keamanan konvensional dan berpotensi lebih sulit dianalisis dan dideteksi.
Para peneliti mencatat bahwa aktor ancaman dari Korea Utara sebelumnya telah bereksperimen dengan bahasa pemrograman seperti Go dan Rust, tetapi peralihan ke Nim mencerminkan keuntungan strategis karena kemampuannya yang multiplatform. Ini memungkinkan basis kode yang sama dijalankan di Windows, Linux, dan macOS tanpa modifikasi, meningkatkan efisiensi dan jangkauan serangan mereka.
Payload berbahaya ini mencakup komponen pencurian kredensial yang dirancang untuk diam-diam mengumpulkan data dari browser dan sistem, mengelompokkan informasi, dan mengirimkannya kepada penyerang. Selain itu, para peneliti mengidentifikasi sebuah skrip di dalam malware yang menargetkan Telegram, mengekstrak baik basis data lokal terenkripsi maupun kunci dekripsi yang sesuai.
Secara mencolok, malware ini menggunakan mekanisme aktivasi tertunda, menunggu sepuluh menit sebelum menjalankan operasinya, dalam upaya yang tampaknya untuk menghindari pemindai keamanan.
#news #golpe #noticias #apple #iOS $BTC $BNB $PAXG
