Para peretas asal Korea Utara semakin canggih dalam melancarkan serangan siber. SentinelOne Labs, perusahaan keamanan siber, baru-baru ini mengungkap sebuah malware Mac yang rumit, dinamakan “NimDoor”, yang digunakan oleh kelompok peretas Korea Utara untuk menargetkan perusahaan Web3 dan kripto.
Malware ini disebar melalui teknik rekayasa sosial yang halus, memanfaatkan platform komunikasi populer seperti Zoom dan Telegram. Serangannya dilakukan secara bertahap, memanfaatkan kelemahan keamanan yang tersembunyi dan sulit dideteksi.
Dimulai dari Rekayasa Sosial dan Email Phishing
Serangan NimDoor diawali dengan rekayasa sosial yang licik. Para peretas meniru kontak terpercaya korban melalui Telegram, kemudian mengajak korban untuk melakukan rapat virtual melalui Zoom, menggunakan tautan Calendly.
Korban akan menerima email yang tampak seperti pembaruan SDK Zoom. Email ini sebenarnya berisi file AppleScript berbahaya yang dirancang untuk menghindari deteksi keamanan.
File AppleScript ini berisi ribuan baris kode tambahan yang berfungsi sebagai kamuflase. Tujuannya untuk mengelabui sistem keamanan dan mengunduh malware tambahan dari server yang dikendalikan oleh para peretas.
Setelah dieksekusi, AppleScript akan mengunduh payload tambahan ke perangkat korban. Peneliti menemukan dua biner Mach-O utama: satu ditulis dalam C++ dan satunya lagi dalam bahasa pemrograman Nim.
Bahasa pemrograman Nim jarang digunakan di sistem Mac, sehingga membuat malware ini sulit dideteksi oleh sistem keamanan standar. Kedua biner ini bekerja sama untuk mempertahankan akses ke sistem dan mencuri data sensitif.
Berbagai Browser Menjadi Sasaran Serangan
Setelah berhasil menyusup, malware NimDoor akan mulai mengekstrak data sensitif dari sistem korban. Skrip Bash yang digunakan akan mencuri riwayat peramban, kredensial Keychain, dan data Telegram.
Beberapa peramban yang menjadi sasaran serangan meliputi Arc, Brave, Firefox, Chrome, dan Microsoft Edge. Bahkan, malware ini juga mencuri basis data Telegram lokal yang terenkripsi untuk dipecahkan secara offline.
NimDoor menggunakan teknik persistensi yang canggih untuk memastikan keberlangsungan akses ke sistem. Malware ini menginstal ulang dirinya sendiri jika pengguna mencoba untuk menghentikannya atau saat sistem direstart.
Salah satu tekniknya adalah penggunaan MacOS LaunchAgents dengan penamaan yang disamarkan. Misalnya, malware akan memberi nama binernya seperti “Google LLC”, dengan sedikit perubahan pada huruf kapital untuk menyamar sebagai file Google yang sah.
Biner lain, CoreKitAgent, akan terus memantau sinyal sistem untuk menginstal ulang malware secara otomatis jika deteksi keamanan dilakukan. Penggunaan bahasa pemrograman Nim membuat analisis statis terhadap malware ini menjadi lebih sulit.
Cara Melindungi Diri dari Serangan NimDoor
Untuk menghindari serangan NimDoor dan malware serupa, ada beberapa langkah pencegahan yang penting. Jangan pernah menjalankan skrip atau pembaruan perangkat lunak yang diterima melalui email atau pesan dari sumber yang tidak dikenal.
Selalu teliti dalam memeriksa URL, karena para peretas seringkali membuat domain yang mirip dengan situs web resmi untuk mengelabui korban. Selalu perbarui sistem operasi MacOS dan semua aplikasi yang terinstal dengan patch keamanan terbaru.
Pembaruan ini akan menutup celah keamanan yang mungkin dieksploitasi oleh malware. Gunakan kata sandi yang kuat dan unik untuk setiap akun, serta aktifkan otentikasi multi-faktor (MFA) jika tersedia.
MFA akan menambahkan lapisan keamanan ekstra untuk melindungi akun Anda dari akses yang tidak sah. Dengan meningkatkan kewaspadaan dan menerapkan langkah-langkah keamanan yang tepat, kita dapat meminimalisir risiko serangan siber yang semakin canggih.
Kejadian ini menunjukkan perlunya peningkatan kesadaran dan kewaspadaan akan serangan siber yang semakin berkembang dan kompleks. Perusahaan yang bergerak di bidang Web3 dan kripto khususnya, harus meningkatkan sistem keamanan mereka untuk melindungi aset digital dan data sensitif mereka dari ancaman serupa.
