Les startups de crypto-monnaies deviennent la cible de logiciels malveillants macOS, se dissimulant derrière une fausse mise à jour de Zoom. Cette menace souligne la vulnérabilité croissante des entreprises face à des attaques sophistiquées, mettant en lumière l’importance de la cybersécurité dans un secteur en pleine expansion.

Malware macOS visant les startups crypto : la menace du faux update Zoom

Origine de la menace

Des hackers nord-coréens sont à l’origine d’une nouvelle campagne de malware macOS, particulièrement sophistiquée, qui cible l’industrie de la crypto-monnaie à travers de fausses invitations Zoom. Connue sous le nom de "NimDoor", cette attaque s’avère plus complexe que les menaces habituelles sur macOS, utilisant une combinaison de langages tels qu’AppleScript, Bash, C++ et Nim pour voler des données et maintenir l’accès aux systèmes compromis.

Détails de l’attaque

Selon un rapport de SentinelLabs, cette campagne utilise des binaires compilés avec Nim et différentes chaînes d’attaque pour cibler les entreprises liées à Web3 et à la crypto-monnaie. Ce qui distingue NimDoor des malwares précédents, c’est l’utilisation de techniques d’injection de processus et de communications distantes via WSS, la version chiffrée en TLS du protocole WebSocket. De plus, un mécanisme de persistance novateur exploite les gestionnaires de signaux SIGINT/SIGTERM pour réinstaller le malware en cas de terminaison ou de redémarrage du système.

Techniques utilisées

Les acteurs de la menace déploient des AppleScripts à grande échelle, tant pour obtenir un accès initial que pour fonctionner comme des balises légères et des portes dérobées dans la chaîne d’attaque. Les scripts Bash sont utilisés pour exfiltrer les identifiants du trousseau, les données du navigateur et les informations des utilisateurs de Telegram. L’analyse de SentinelLabs met en lumière des techniques et des artefacts malveillants qui relient des composants rapportés précédemment, élargissant ainsi notre compréhension des méthodes évolutives de ces acteurs.

Fonctionnement de l’attaque

Le processus commence par une approche d’ingénierie sociale. Les victimes sont contactées via Telegram par un individu se faisant passer pour un contact de confiance. On leur demande de programmer un appel via Calendly, puis un e-mail de suivi contient un lien Zoom fictif et des instructions pour exécuter une fausse mise à jour du "SDK Zoom". SentinelLabs indique que le fichier est "fortement rembourré, contenant 10 000 lignes d’espaces vides pour obscurcir sa véritable fonction".

Lors de son exécution, le malware déclenche une série complexe d’événements qui établissent une connexion chiffrée avec un serveur de commande et de contrôle. Il intègre également une logique de sauvegarde qui réinstalle les composants essentiels si le système est redémarré ou si le processus du malware est terminé.

Exécution et exfiltration des données

Une fois que tous les binaires du hack et les mécanismes de persistance sont en place, le malware utilise des scripts Bash pour extraire et exfiltrer des identifiants et des données sensibles. Cela inclut les identifiants du trousseau, les données du navigateur et les informations des utilisateurs de Telegram.

Analyse technique approfondie

Pour ceux qui souhaitent explorer plus en détail le fonctionnement du hack, le rapport de SentinelLabs comprend des listings de hachages, des extraits de code, des captures d’écran et des diagrammes de flux d’attaque, offrant une analyse approfondie de chaque étape, depuis la fausse mise à jour Zoom jusqu’à l’exfiltration finale des données.

Les chercheurs notent également que NimDoor illustre un changement plus large vers des langages multiplateformes plus complexes et moins familiers dans les malwares macOS, s’éloignant des scripts Go, Python et shell que les acteurs de la menace nord-coréenne utilisaient traditionnellement.

Pour une analyse complète et détaillée, vous pouvez consulter le rapport de SentinelLabs ici.

Conséquences et réflexion

Les attaques comme NimDoor soulèvent des questions inquiétantes sur la sécurité des entreprises dans le domaine de la crypto-monnaie. Se pourrait-il que ces hacks revêtent une importance exagérée dans le discours public, ou sont-ils le signe d’une menace réelle et croissante ? Les implications de telles attaques pourraient être considérables pour toute l’industrie.

Qu’est-ce que le malware NimDoor ?

NimDoor est un malware sophistiqué développé par des hackers nord-coréens, ciblant l’industrie crypto en utilisant des invitations Zoom fausses. Il utilise des techniques avancées pour exfiltrer des données et maintenir l’accès aux systèmes compromis.

Comment fonctionne ce malware ?

Le malware exploite l’ingénierie sociale pour tromper les victimes via Telegram, leur demandant d’installer une mise à jour fictive de Zoom. Lors de l’exécution, il établit une connexion cryptée avec un serveur de commande et contrôle.

Quelles méthodes les hackers utilisent-ils ?

Les hackers utilisent des scripts Apple et Bash pour accéder aux systèmes, exfiltrer des informations sensibles et maintenir la persistance du malware. Des techniques d’injection de processus et des communications distantes sont également employées.

Pourquoi ce malware est-il plus dangereux que les menaces macOS habituelles ?

NimDoor se distingue par son utilisation de langages de programmation moins familiers et plus complexes, rendant l’analyse et la prévention plus difficiles. Cela marque un changement dans les méthodes des acteurs malveillants nord-coréens.

Attention : Un Malware macOS Vise les Startups Crypto Sous Couvert d’une Mise à Jour Zoom Trompeuse !

Découvrez comment l’application Google Home révolutionne l’utilisation de vos anciens thermostats Nest !

Profitez de Remises Incroyables : Économisez 620 $ sur le Tab S10 Ultra, Découvrez le Fold 7 et les Nothing Headphones (1) !

Découvrez le Nouveau Files by Google M3 : Un Design Éblouissant avec Carrousel Animé et Navigation Intuitive !