Grupos de cibercriminosos da Coreia do Norte estão usando atualizações falsas do Zoom como isca para espalhar malware direcionado a sistemas macOS, principalmente em organizações ligadas a web3 e criptomoedas, segundo relatório da SentinelOne.
A campanha maliciosa, atribuída ao grupo APT BlueNoroff — vinculado ao regime de Pyongyang — segue um sofisticado encadeamento de infecção. O ataque começa com a personificação de um contato confiável da vítima, que é abordada por meio do Telegram para agendar uma reunião usando a popular plataforma de agendamento Calendly.
Em seguida, a vítima recebe um e-mail com um link para uma suposta reunião no Zoom, sendo instruída a executar um script malicioso disfarçado de atualização do SDK do Zoom. A execução desse script inicia uma cadeia de infecção em múltiplas etapas que culmina com a instalação de binários maliciosos, rastreados pela SentinelOne sob o nome de NimDoor.
Técnicas inéditas e linguagem incomum
A análise revelou métodos inovadores empregados pelo grupo, como o uso da linguagem de programação Nim para compilar os binários direcionados ao macOS. Também foi identificado o uso do protocolo wss para injeção de processos e comunicação remota, além de mecanismos de persistência baseados em manipuladores de sinais — uma técnica até então inédita em malwares para macOS.
O Nim é uma linguagem de programação compilada, fortemente tipada, que incorpora conceitos de outras linguagens como Python, Ada e Modula. Os módulos em Nim utilizados pelos agentes maliciosos apresentam características avançadas, como manipulação criptografada de configuração, execução assíncrona com base no tempo de execução nativo da linguagem e persistência baseada em sinais de sistema.
Scripts e binários maliciosos
Além do Nim, a campanha fez uso intenso de AppleScripts para acesso inicial e ações pós-comprometimento, como comunicação com os servidores de comando e controle (beaconing) e criação de backdoors no sistema. Scripts bash foram empregados para extrair dados sensíveis, incluindo senhas armazenadas no Keychain, dados de navegadores e informações do Telegram.
Segundo a SentinelOne, os atacantes utilizaram dois binários Mach-O distintos para iniciar cadeias de execução paralelas: um escrito em C++, responsável pela coleta de dados, e outro, em Nim, projetado para estabelecer persistência no sistema. Este último instala dois binários adicionais: GoogIe LLC (com uso de typo spoofing, trocando “l” minúsculo por “i” maiúsculo) e CoreKitAgent.
O GoogIe LLC cria arquivos de configuração e aciona o CoreKitAgent, um componente avançado desenvolvido em Nim que atua como uma aplicação orientada a eventos, explorando o mecanismo kqueue do macOS. Em conjunto, esses binários mantêm o acesso ao sistema e empregam sinalizadores como SIGINT e SIGTERM para reativar os componentes principais mesmo após tentativas de encerramento.
Disfarce e complexidade
A SentinelOne destaca que a capacidade única do Nim de executar funções em tempo de compilação permite aos agentes maliciosos integrar comportamentos complexos no binário, dificultando a análise e confundindo os fluxos de controle. Isso resulta em binários onde o código do desenvolvedor se mistura com a estrutura da própria linguagem, inclusive em nível de função.