NimDoor, il virus per Mac che si reinstalla da solo e prende di mira le criptovalute

Una nuova ondata di attacchi informatici condotta da gruppi di hacker spupportati economicamente dala Corea del Nord sta colpendo aziende del settore Web3 e delle criptovalute, sfruttando una famiglia di malware macOS denominata NimDoor. La campagna, analizzata dai ricercatori di SentinelOne, fa uso di tecniche avanzate e poco comuni nell’ecosistema Apple, tra cui una persistenza basata su segnali di sistema e la scelta di linguaggi di programmazione atipici come Nim e C++.

L’attacco si sviluppa attraverso una catena di social engineering ormai familiare nei casi legati alla Corea del Nord: le vittime vengono contattate su Telegram da soggetti che si spacciano per contatti fidati e vengono invitate a fissare una riunione Zoom tramite Calendly. Successivamente, ricevono una mail con un link Zoom e l’invito a eseguire uno script di aggiornamento SDK, apparentemente per garantire la compatibilità con la piattaforma di videoconferenza.

Il file incriminato, spesso un AppleScript chiamato zoom_sdk_support.scpt, contiene oltre 10.000 righe vuote ed errori di battitura come “Zook” invece di “Zoom”, a testimonianza di una certa trascuratezza da parte degli attaccanti ma anche di una volontà di eludere l’analisi automatica. Una volta eseguito, lo script scarica ulteriori payload da server controllati dagli hacker, imitando infrastrutture legittime di Zoom.

La fase successiva vede l’installazione di binari Mach-O scritti in C++ e Nim. In particolare, il binario installer prepara l’ambiente e distribuisce altri due componenti: GoogIe LLC (con la “i” maiuscola per confondersi con file legittimi di Google) e CoreKitAgent. GoogIe LLC raccoglie dati sull’ambiente, genera file di configurazione codificati in esadecimale e imposta un LaunchAgent per garantire la persistenza all’avvio del sistema.

L'elemento chiave dell’attacco è rappresentato dal già citato CoreKitAgent, il payload principale del framework NimDoor. Questo componente opera come un binario event-driven, sfruttando il meccanismo kqueue di macOS per gestire l’esecuzione in modo asincrono. Implementa una state machine a 10 stati con una tabella di transizione hardcoded, consentendo un controllo flessibile del flusso in base alle condizioni di runtime.

L’aspetto più innovativo e pericoloso di NimDoor è la persistenza basata su segnali: CoreKitAgent installa handler personalizzati per i segnali SIGINT e SIGTERM, normalmente utilizzati per terminare i processi. Se uno di questi segnali viene intercettato (ad esempio durante un tentativo di chiusura manuale o da parte di un software di sicurezza) il malware attiva una routine di reinstallazione che ripristina GoogIe LLC e se stesso, ricreando la catena di persistenza e rendendo inefficaci le difese tradizionali.

Parallelamente, lo script zoom_sdk_support.scpt innesca una seconda catena di infezione che coinvolge il binario trojan1_arm64, il quale stabilisce comunicazioni C2 tramite WSS (WebSocket Secure) e scarica ulteriori script (upl e tlgrm) per il furto dei dati. Upl estrae dati dai browser web, dalle chiavi di sistema (Keychain) e dalla cronologia delle shell, inviando tutto a server remoti tramite curl. Tlgrm si concentra sul furto del database di Telegram e delle chiavi temporanee, probabilmente per decifrare i messaggi scambiati dalla vittima.

Il canale di comunicazione tra i componenti malevoli e l’infrastruttura degli attaccanti è cifrato tramite RC4 e ulteriori livelli di codifica base64, con ogni vittima identificata da un Build ID univoco. I comandi vengono trasmessi in formato JSON e possono includere l’esecuzione di comandi arbitrari, l’estrazione di informazioni di sistema e la manipolazione del file system.

L’analisi di SentinelOne evidenzia come la modularità e la flessibilità del framework NimDoor, unite all’adozione di linguaggi cross-platform come Nim e C++, rappresentino un salto di qualità nell’arsenale dei gruppi APT nordcoreani, che dimostrano di saper evolvere rapidamente le proprie tecniche per aggirare le difese e operare su diversi sistemi operativi.

Il report di SentinelLABS mette a disposizione indicatori di compromissione relativi a domini, percorsi di file, script e binari utilizzati negli attacchi, offrendo strumenti preziosi per la difesa delle aziende del settore crypto e Web3. L’emergere di NimDoor evidenzia come il panorama delle minacce su macOS stia diventando sempre più sofisticato, con un’attenzione crescente verso target ad alto valore e tecniche di attacco sempre meno convenzionali.