Un malware sofisticato colpisce startup Web3 su macOS tramite finte chiamate Zoom. Ecco come funziona NimDoor.
Mentre Apple passa ad un nuovo sistema di aggiornamento in scatola su Mac, un nuovo malware per macOS denominato NimDoor è stato scoperto dagli analisti di SentinelLabs. Si tratta di una delle campagne più sofisticate mai viste su macOS, mirata in particolare contro startup del mondo crypto e Web3, con un attacco che inizia da finte riunioni Zoom.
Come funziona l’attacco NimDoor: Zoom, Telegram e ingegneria sociale
Il vettore d’attacco parte da un contatto apparentemente affidabile che scrive su Telegram, chiedendo alla vittima di fissare una riunione tramite Calendly. Successivamente, arriva una email con un falso link Zoom, contenente le istruzioni per eseguire un file chiamato “Zoom SDK Update”.
In realtà, si tratta di un file truccato con oltre 10.000 righe bianche per nasconderne la vera natura, che dà il via a una catena complessa di esecuzioni con linguaggi misti come AppleScript, Bash, C++, e Nim.
Tutte le fasi dell’infezione: accesso, persistenza e furto dati
Secondo il rapporto, il malware:
- Usa AppleScript per accedere al sistema e installarsi come beacon di controllo remoto.
- Impiega Bash script per raccogliere ed esportare dati sensibili: credenziali del Portachiavi, dati dei browser e informazioni di Telegram.
- Si collega a un server remoto tramite WebSocket TLS (wss), mantenendo il controllo del dispositivo anche dopo riavvio o terminazione del processo.
- Implementa una tecnica di persistenza inedita, sfruttando i segnali SIGINT e SIGTERM per reinstallarsi automaticamente in caso di rimozione.
Una volta completata l’infezione, il sistema resta completamente sotto il controllo dell’aggressore, che può accedere in modo continuativo ai dati dell’utente senza che quest’ultimo se ne accorga.
Origine dell’attacco malware macOS e obiettivi principali
I responsabili sono hacker nordcoreani, già noti per attacchi mirati a startup crypto, con una sempre maggiore sofisticazione tecnica. Il linguaggio Nim, ancora poco usato in ambiente macOS, mostra un’evoluzione delle loro tattiche, prima basate principalmente su script Python e shell.
Questa scelta complica l’identificazione e il blocco da parte dei software antivirus, rendendo NimDoor più difficile da rilevare rispetto ai malware tradizionali.
Come proteggersi dal malware NimDoor su macOS
Gli esperti di sicurezza suggeriscono di:
- Diffidare di email e inviti Zoom non verificati, soprattutto se ricevuti tramite contatti Telegram non confermati.
- Non installare “update” o file eseguibili al di fuori del sito ufficiale Zoom.
- Tenere macOS e tutti i software sempre aggiornati con le ultime patch di sicurezza.
- Usare strumenti avanzati di monitoraggio e antivirus specifici per macOS.
- Impostare controlli di accesso e autorizzazioni più restrittive per AppleScript e automazioni.
NimDoor rappresenta una minaccia concreta e avanzata per il mondo crypto, blockchain e Web3, e dimostra come macOS non sia più un’isola felice in termini di sicurezza. Il malware sfrutta tecniche avanzate di persuasione, linguaggi poco tracciabili e metodi di persistenza efficaci.
È fondamentale che utenti, startup e aziende del settore adottino misure di difesa proattive. La sicurezza oggi passa anche dalla consapevolezza: ogni clic non verificato può diventare una porta d’accesso per un attacco invisibile.
Per i dettagli tecnici completi, SentinelLabs ha pubblicato un’analisi approfondita, comprensiva di hash, diagrammi, codice e flusso operativo del malware.
[fonte]