Um novo malware, descoberto por pesquisadores do SentinelOne e apelidado de “NimDoor”, vem sendo usado por atacantes norte-coreanos para roubar dados de criptomoedas de Macs. Isso, usando binários compilados em Nim — uma linguagem incomum no macOS (o que dificulta a sua detecção).
Os atacantes usam engenharia social para se infiltrar nas máquinas das vítimas, mais especificamente atraindo-as para supostas chamadas no Zoom. Quando elas entregam seus endereços de email, acabam recebendo um falso link para atualizar o SDK 1Software development kit, ou kit de desenvolvimento de software. do app — o que, obviamente, é uma armadilha.
Eles são arquivos AppleScript contendo milhares de linhas de código para disfarçar a sua verdadeira função e, quando executados, acabam baixando arquivos maliciosos no computador da vítima, os quais contam com mecanismos para reinstalar o malware em casos de remoção ou de reinício do sistema.
Se comunicando remotamente via WebSockets (wss) — com direito a criptografia por TLS —, o malware usa scripts bash para roubar dados dos usuários, os quais incluem dados das chaves armazenadas no sistema, do Telegram e o histórico de navegadores (incluindo Arc, Chrome, Firefox e Edge).
Vale sempre ressaltar as dicas básicas de segurança ao navegar na internet, como não baixar arquivos de sites desconhecidos, sempre conferir bem URLs e não sair dando o seu email pessoal para qualquer pessoa (de preferência usando um recurso de máscara como o Ocultar meu Email, do iCloud+).
via AppleInsider
Notas de rodapé
- 1Software development kit, ou kit de desenvolvimento de software.
