Para peretas asal Korea Utara telah mengembangkan taktik serangan siber baru yang canggih. Mereka menggunakan malware Mac yang disebarkan melalui platform Zoom untuk menargetkan perusahaan Web3 dan kripto.
SentinelOne Labs, sebuah perusahaan riset keamanan siber, mengungkap serangan multi-tahap ini yang berhasil melewati langkah-langkah keamanan standar perusahaan. Serangan ini menunjukkan peningkatan kemampuan peretas Korea Utara dalam melakukan aksi kejahatan siber.
Serangan Multi-Tahap “NimDoor”
Serangan yang dijuluki “NimDoor” ini diawali dengan rekayasa sosial. Para penyerang menyamar sebagai kontak terpercaya melalui Telegram dan mengundang korban ke pertemuan Zoom melalui tautan Calendly.
Korban kemudian menerima email phishing yang berisi file AppleScript berbahaya, disamarkan sebagai pembaruan SDK Zoom. File ini sebenarnya merupakan pintu masuk bagi malware tambahan.
AppleScript ini memiliki ribuan baris kode untuk menghindari deteksi. Kode ini mengunduh malware tambahan dari server yang dikendalikan penyerang, yang meniru domain Zoom yang sah.
Setelah dieksekusi, skrip mengunduh dua biner Mach-O utama ke perangkat korban. Salah satunya ditulis dalam C++, dan yang lainnya dalam bahasa pemrograman Nim.
Penggunaan Nim yang tidak umum pada sistem Mac membuat malware ini lebih sulit dideteksi. Kedua biner tersebut bekerja bersama untuk mempertahankan akses dan mencuri data.
Browser dan Data Sensitif Menjadi Sasaran
Malware tersebut mencuri data dengan cara yang tidak biasa untuk standar Mac. Ia misalnya dapat menginjeksi proses dengan hak istimewa.
Malware NimDoor menggunakan komunikasi terenkripsi melalui WebSockets dan mekanisme berbasis sinyal. Hal ini membuat proses penghapusan malware lebih sulit.
Malware ini mengeksfiltrasi data melalui skrip Bash. Skrip tersebut mengambil riwayat browser, kredensial Keychain, dan data Telegram.
Beberapa browser yang menjadi target antara lain Arc, Brave, Firefox, Chrome, dan Microsoft Edge. Basis data Telegram lokal yang terenkripsi pun dicuri untuk dipecahkan secara offline.
Malware juga menggunakan teknik persistensi yang canggih. Ia menginstal biner dengan nama yang mirip dengan file sistem sah, seperti “Google LLC”, untuk menghindari deteksi.
Biner lain, CoreKitAgent, memantau sinyal sistem untuk menginstal ulang malware secara otomatis jika dihentikan atau jika sistem direboot.
Cara Melindungi Diri dari NimDoor
Untuk menghindari serangan NimDoor, pengguna Mac disarankan untuk berhati-hati terhadap email dan pesan dari sumber yang tidak dikenal atau mencurigakan, meskipun terlihat berasal dari kontak terpercaya.
Selalu verifikasi URL dengan teliti sebelum mengklik tautan, karena peretas sering kali membuat domain yang sangat mirip dengan domain asli untuk menipu korban.
Pastikan sistem operasi MacOS dan semua aplikasi yang diinstal selalu diperbarui dengan patch keamanan terbaru. Hal ini akan meminimalkan kerentanan yang dapat dieksploitasi oleh malware.
Gunakan kata sandi yang kuat dan unik untuk setiap akun, dan aktifkan otentikasi multi-faktor (MFA) jika tersedia. MFA memberikan lapisan keamanan tambahan untuk melindungi akun Anda.
Kejadian ini menunjukkan perlunya kewaspadaan dan peningkatan keamanan siber, terutama bagi perusahaan yang beroperasi di sektor Web3 dan kripto. Penggunaan teknologi canggih oleh peretas menuntut pengguna untuk selalu waspada dan proaktif dalam melindungi data mereka.
