Para peretas asal Korea Utara semakin canggih dalam melancarkan serangan siber. Baru-baru ini, SentinelOne Labs mengungkap sebuah malware Mac yang rumit, bernama “NimDoor,” digunakan untuk membobol sistem perusahaan Web3 dan kripto. Serangan ini memanfaatkan platform Zoom dan teknik rekayasa sosial yang licik.
Malware NimDoor bukan hanya sekadar virus biasa. Ia merupakan serangan multi-tahap yang dirancang untuk menghindari deteksi dan mencuri data sensitif. Penggunaan bahasa pemrograman Nim yang tidak umum pada sistem Mac menjadi salah satu kunci keberhasilannya.
Dimulai dari Rekayasa Sosial
Serangan NimDoor dimulai dengan cara yang sangat halus: rekayasa sosial. Para peretas meniru kontak yang dipercaya korban melalui Telegram.
Korban kemudian diajak untuk melakukan pertemuan virtual melalui Zoom, dengan tautan yang dikirim via Calendly. Tautan ini sebenarnya adalah email phishing yang berisi file AppleScript berbahaya.
File AppleScript tersebut memiliki ribuan baris kode yang berfungsi untuk mengaburkan jejak dan menghindari deteksi antivirus. Skrip ini kemudian mengunduh malware tambahan dari server yang dikendalikan peretas, meniru domain Zoom yang sah.
Setelah dieksekusi, skrip ini akan mengunduh payload tambahan ke perangkat korban. SentinelOne Labs menemukan dua biner Mach-O utama dalam serangan ini.
Satu biner ditulis dalam C++, dan lainnya dalam bahasa pemrograman Nim. Keduanya bekerja sama untuk mempertahankan akses dan mencuri data.
Uniknya, malware ini menggunakan teknik yang tidak biasa untuk sistem Mac, seperti menginjeksi proses dengan hak istimewa khusus.
Komunikasi dengan server peretas dilakukan secara terenkripsi melalui WebSockets dan mekanisme berbasis sinyal lainnya.
Sistem ini bahkan mampu menginstal ulang malware secara otomatis jika pengguna mencoba menghentikannya atau ketika sistem di-restart.
Berbagai Browser Jadi Sasaran
Setelah berhasil menyusup, malware NimDoor akan mulai mencuri data. Ia menggunakan skrip Bash untuk mengambil riwayat browser, kredensial Keychain, dan data Telegram.
Beberapa browser yang menjadi target serangan termasuk Arc, Brave, Firefox, Chrome, dan Microsoft Edge. Data tersebut kemudian diekstrak dan dikirim ke server peretas.
Malware ini juga mencuri basis data Telegram lokal yang terenkripsi untuk dipecahkan secara offline. Persistensi dicapai melalui penggunaan MacOS LaunchAgents dan teknik penyamaran nama file.
Contohnya, malware menginstal biner dengan nama yang mirip dengan file Google LLC, mengganti huruf ‘i’ dengan ‘l’ untuk menghindari kecurigaan.
Biner lain, CoreKitAgent, akan terus memantau sistem dan menginstal ulang malware jika operasi dihentikan.
SentinelOne mencatat bahwa penggunaan bahasa pemrograman Nim merupakan inovasi baru dalam pembuatan malware. Hal ini membuat analisis malware menjadi lebih sulit.
Cara Melindungi Diri dari NimDoor
Untuk menghindari serangan seperti NimDoor, ada beberapa langkah yang dapat diambil.
Hindari menjalankan skrip atau pembaruan perangkat lunak yang diterima melalui email atau pesan dari sumber yang tidak dikenal, atau bahkan dari kontak yang tampaknya terpercaya.
Selalu periksa URL dengan teliti. Peretas sering kali membuat domain yang mirip dengan situs web yang sah untuk menipu korban.
Pastikan sistem operasi MacOS dan semua aplikasi yang terinstal selalu diperbarui dengan patch keamanan terbaru.
Gunakan kata sandi yang kuat dan unik untuk setiap akun, serta aktifkan otentikasi multi-faktor jika tersedia.
Kewaspadaan dan pengetahuan tentang taktik serangan siber yang semakin canggih sangat penting untuk menjaga keamanan data dan sistem Anda.
Kejadian ini menekankan pentingnya kesadaran akan keamanan siber, khususnya bagi perusahaan yang beroperasi di sektor Web3 dan kripto. Penting untuk selalu waspada terhadap email phishing dan tautan mencurigakan, dan rutin memperbarui sistem serta perangkat lunak.
