Noord Koreaanse hackers blijken opnieuw actief te zijn in de crypto wereld, en dit keer pakken ze het nóg slimmer aan. Volgens onderzoek van Sentinel Labs zetten deze aanvallers een nieuwe malware in met de naam NimDoor. Deze malware richt zich specifiek op crypto bedrijven en wordt verspreid via Telegram, vermomd als een zogenaamde Zoom update.
Wat NimDoor extra gevaarlijk maakt, is dat de malware is geschreven in Nim, een vrij onbekende programmeertaal. Daardoor weten de hackers Apple’s beveiliging te omzeilen en ongestoord wachtwoorden, crypto wallets en Telegram gegevens te stelen.
Stablecoin is verkrijgbaar bij Bitvavo en Bybit.
Slachtoffers gelokt via Telegram en nep zoom updates
De aanval begint via Telegram, waar slachtoffers worden benaderd door iemand die zich voordoet als een betrouwbare connectie. Ze krijgen een uitnodiging voor een meeting en moeten daarvoor zogenaamd een Zoom SDK update installeren.
In werkelijkheid downloaden ze een AppleScript met een opvallende typfout (“Zook” in plaats van “Zoom”) en duizenden lege regels om het script te verbergen. Na uitvoering haalt het script automatisch extra malware binnen via een domein dat sterk lijkt op het officiële Zoom adres.
Vanaf dat moment start een complex aanvalsscenario waarin verschillende programma’s en scripts worden gedownload. Via deze malware weten de aanvallers toegang te krijgen tot wachtwoorden, crypto wallets en zelfs de lokale database van Telegram.
Geavanceerde malware met slimme trucs
Wat NimDoor zo opvallend maakt, is de geavanceerde techniek. De malware gebruikt onder andere wss, een beveiligde vorm van het WebSocket protocol, voor communicatie met de commandocentra van de aanvallers. Dit is bijzonder ongebruikelijk voor macOS malware.
Daarnaast worden geavanceerde technieken toegepast om op het systeem te blijven hangen, zelfs na een herstart of als een gebruiker probeert de malware te verwijderen. Het gebruik van AppleScript en Bash scripts maakt het extra lastig om deze aanval te detecteren.
Volgens Sentinel Labs laten deze aanvallen zien dat hackers steeds vaker minder bekende programmeertalen inzetten om beveiligingsmaatregelen te omzeilen. Ze melden dat NimDoor pas het begin lijkt te zijn van een nieuwe trend in cyberaanvallen gericht op crypto bedrijven. Ook crypto scams worden steeds geavanceerder.
Meer details over deze aanval vind je in de uitgebreide analyse van Sentinel Labs.