Kelompok peretas asal Korea Utara memanfaatkan malware canggih untuk menyerang perusahaan Web3 dan kripto. Mereka berhasil mencuri data sensitif dengan cara yang terbilang unik, melewati sistem keamanan standar perusahaan target.
SentinelOne Labs, sebuah perusahaan keamanan siber, mengungkap metode serangan ini. Mereka menamai operasi tersebut “NimDoor,” menggarisbawahi perkembangan taktik yang digunakan oleh peretas Korea Utara.
Dimulai dari Rekayasa Sosial
Serangan NimDoor dimulai dengan rekayasa sosial yang licik. Para peretas menyamar sebagai kontak terpercaya melalui Telegram, lalu membujuk korban untuk mengikuti rapat virtual Zoom melalui tautan Calendly.
Korban kemudian menerima email phishing yang tampak seperti pembaruan SDK Zoom. Namun, sebenarnya email tersebut berisi file AppleScript berbahaya yang terselubung.
AppleScript ini berisi ribuan baris kode yang bertujuan untuk mengelabui sistem deteksi. Skrip tersebut kemudian mengunduh malware tambahan dari server yang dikendalikan peretas, dengan menyamarkannya sebagai domain Zoom yang sah.
Setelah dieksekusi, skrip tersebut akan mengunduh muatan berbahaya lebih lanjut ke perangkat korban. Para peneliti menemukan dua biner Mach-O utama yang digunakan dalam serangan ini.
Satu biner ditulis dalam bahasa pemrograman C++, dan yang lainnya dalam bahasa pemrograman Nim. Kedua biner tersebut bekerja sama untuk mempertahankan akses dan mencuri data.
Penggunaan bahasa pemrograman Nim cukup unik karena jarang digunakan dalam malware Mac. Hal ini membuat malware lebih sulit dideteksi oleh sistem keamanan standar.
Malware ini juga menggunakan teknik yang tidak biasa untuk sistem Mac, seperti menginjeksi proses dengan hak istimewa. Komunikasi terenkripsi melalui WebSockets dan mekanisme berbasis sinyal juga digunakan.
Mekanisme ini bahkan mampu menginstal ulang malware jika pengguna mencoba menghentikannya atau ketika sistem di-reboot. Hal ini menunjukkan tingkat kecanggihan yang tinggi dari malware tersebut.
Deretan Browser Jadi Sasaran
Setelah berhasil menyusup, malware mengeksfiltrasi data dengan menggunakan skrip Bash. Skrip ini digunakan untuk mencuri riwayat browser, kredensial Keychain, dan data Telegram.
Beberapa browser yang menjadi target serangan meliputi Chrome, Firefox, Brave, Microsoft Edge, dan Arc. Data yang dicuri meliputi riwayat browsing, informasi login, dan data pribadi lainnya.
Malware tersebut juga mencuri basis data Telegram lokal yang terenkripsi, untuk kemudian didekripsi secara offline. Ini menunjukkan upaya ekstra peretas untuk mendapatkan informasi sensitif.
Untuk mempertahankan keberadaannya, malware memanfaatkan MacOS LaunchAgents dan konvensi penamaan yang menipu. Misalnya, malware menginstal biner dengan nama yang mirip dengan file Google yang sah.
Biner lain, CoreKitAgent, memantau sinyal sistem untuk menginstal ulang malware secara otomatis jika operasi dihentikan. Hal ini menunjukkan bahwa malware dirancang untuk bertahan lama di dalam sistem.
SentinelOne menekankan bahwa penggunaan bahasa pemrograman Nim dalam biner ini menunjukkan adanya evolusi dalam perangkat yang digunakan aktor ancaman. Kompilasi waktu dan interleaving kode membuat analisis statis lebih sulit.
Cara Tetap Aman dari NimDoor
Untuk mencegah serangan serupa, penting untuk menghindari menjalankan skrip atau pembaruan perangkat lunak yang diterima melalui email atau pesan dari sumber yang tidak dikenal.
Selalu verifikasi pengirim dan periksa dengan teliti URL sebelum mengklik tautan. Peretas sering kali membuat domain yang mirip dengan situs web yang sah.
Pastikan sistem operasi MacOS dan semua aplikasi yang terinstal selalu diperbarui dengan patch keamanan terbaru. Pembaruan akan mengurangi kerentanan yang dapat dieksploitasi oleh malware.
Gunakan kata sandi yang kuat dan unik untuk setiap akun, dan aktifkan otentikasi multi-faktor jika tersedia. Langkah-langkah ini akan meningkatkan keamanan akun Anda.
Kejadian ini menunjukkan betapa pentingnya kewaspadaan dan praktik keamanan siber yang baik. Peretas terus mengembangkan taktik mereka, sehingga perusahaan dan individu harus selalu waspada dan beradaptasi.
Dengan meningkatkan keamanan siber dan mengikuti panduan pencegahan, Anda dapat meminimalisir risiko terkena serangan malware seperti NimDoor dan melindungi data sensitif Anda.
