Une nouvelle campagne de logiciels malveillants cible les utilisateurs de Mac, en particulier ceux détenant un portefeuille crypto. Derrière une fausse mise à jour Zoom, des attaquants nord-coréens musclent leur jeu pour infiltrer les systèmes et exfiltrer des données sensibles.
Un malware qui cible les crypto-actifs
Les chercheurs en cybersécurité du cabinet SentinelLabs ont récemment découvert une opération visant les utilisateurs de macOS, ciblant notamment les détenteurs de cryptomonnaie. Les attaquants feraient partie d'un groupe nord-coréens et se feraient passer pour des contacts fiables sur Telegram. Après avoir initié un échange, ils invitent la cible à planifier un appel via Calendly, puis envoient un lien par e-mail menant à une prétendue mise à jour du SDK Zoom.
Le fichier transmis est volontairement alourdi par des milliers de lignes vides pour masquer sa véritable fonction. Une fois exécuté, il déclenche une série d’actions avec la mise en place d’une connexion chiffrée avec un serveur distant, l'installation de mécanismes de persistance et la préparation à la collecte de données. Cette approche combine AppleScript, Bash, C++ et Nim, et permet aux attaquants de maintenir un accès discret sur la machine de la victime.
NimDoor aspire les données personnelles
En associant les binaires codés en Nim à des scripts AppleScript, les attaquants peuvent plus facilement injecter du code malveillant et le préparer à la collecte des données tout en communiquant via le protocole WSS WebSocket Secure. Les transferts sont donc chiffrés
Le logiciel malveillant, baptisé NimDoor, ne se contente pas d’installer une porte dérobée. Il intègre un mécanisme de persistance original, exploitant les signaux système SIGINT et SIGTERM pour se réinstaller en cas de redémarrage ou d’arrêt du processus. Par ailleurs, des scripts Bash sont employés pour extraire des informations sensibles, telles que les identifiants Keychain, les données de navigateurs et les comptes Telegram.
Pour SentinelLabs, c'est une première pour les Nord-Coréens dont les techniques restent généralement moins avancées avec des scripts classiques
27 juin 2025 à 09h45
