Para peretas asal Korea Utara semakin canggih dalam melancarkan serangan siber. SentinelOne Labs, sebuah perusahaan keamanan siber, baru-baru ini mengungkap sebuah malware Mac yang rumit, bernama “NimDoor”, yang digunakan oleh kelompok peretas Korea Utara untuk menargetkan perusahaan Web3 dan kripto.
Malware ini disebarkan melalui email phishing yang dirancang sedemikian rupa sehingga tampak seperti update Zoom resmi. Teknik ini menunjukkan peningkatan kemampuan peretas Korea Utara dalam mengelabui korban dan menghindari sistem keamanan.
Dimulai dari Rekayasa Sosial
Serangan NimDoor diawali dengan taktik rekayasa sosial yang halus. Peretas menyamar sebagai kontak terpercaya korban melalui Telegram, lalu mengajak korban untuk melakukan rapat virtual Zoom melalui tautan Calendly yang telah dimodifikasi.
Email phishing yang dikirimkan berisi lampiran yang seolah-olah merupakan pembaruan SDK Zoom. Padahal, lampiran tersebut merupakan file AppleScript yang berbahaya.
File AppleScript ini berisi ribuan baris kode yang berfungsi sebagai kamuflase untuk menghindari deteksi antivirus. Kode tersebut kemudian mengunduh malware tambahan dari server yang dikendalikan peretas, meniru alamat domain Zoom yang sah.
Setelah dieksekusi, skrip ini akan mengunduh payload tambahan ke perangkat korban. Peneliti menemukan dua biner Mach-O utama yang digunakan dalam serangan ini.
Satu biner ditulis dalam C++, dan yang lainnya dalam bahasa pemrograman Nim. Penggunaan Nim yang tidak umum di sistem Mac membuat deteksi malware menjadi lebih sulit.
Berbagai Browser Menjadi Sasaran
Setelah berhasil menyusup, malware NimDoor mengekstrak data sensitif dari sistem korban. Data yang dicuri termasuk riwayat browser, kredensial Keychain, dan data Telegram.
Beberapa browser yang menjadi target serangan ini antara lain Arc, Brave, Firefox, Chrome, dan Microsoft Edge. Malware juga mencuri basis data Telegram lokal yang terenkripsi.
Malware ini menggunakan teknik persistensi yang canggih untuk memastikan keberlangsungan aksessya ke sistem korban. Salah satu tekniknya adalah menginstal ulang malware jika pengguna mencoba menghentikannya atau ketika sistem di-reboot.
Teknik persistensi lainnya melibatkan penggunaan MacOS LaunchAgents dengan nama yang disamarkan, seperti mengganti huruf ‘i’ dengan ‘l’ untuk menyamarkannya sebagai file Google yang sah.
Penggunaan bahasa pemrograman Nim dalam biner malware menunjukkan perkembangan dalam kemampuan peretas. Kompilasi Nim dan penggabungan kode pengembang dan runtime membuat analisis statis lebih sulit dilakukan.
Tips Tetap Aman dari NimDoor
Untuk menghindari serangan serupa, pengguna Mac disarankan untuk selalu berhati-hati terhadap email atau pesan dari sumber yang tidak dikenal, atau bahkan dari kontak yang tampaknya terpercaya.
Selalu periksa URL dengan teliti sebelum mengklik tautan apa pun. Peretas sering kali membuat domain yang sangat mirip dengan domain asli untuk menipu korban.
Pastikan sistem operasi MacOS dan semua aplikasi yang terinstal selalu diperbarui dengan patch keamanan terbaru. Pembaruan ini seringkali berisi perbaikan kerentanan keamanan yang dapat dieksploitasi oleh malware.
Gunakan kata sandi yang kuat dan unik untuk setiap akun. Aktifkan otentikasi multi-faktor (MFA) untuk menambah lapisan keamanan ekstra pada akun-akun penting.
Dengan meningkatkan kewaspadaan dan menerapkan langkah-langkah keamanan yang tepat, pengguna dapat mengurangi risiko menjadi korban serangan malware canggih seperti NimDoor.
Kesimpulannya, serangan NimDoor menunjukkan betapa pentingnya kewaspadaan dan keamanan siber yang kuat, terutama bagi perusahaan yang beroperasi di sektor kripto dan Web3. Kemampuan peretas Korea Utara yang terus berkembang menuntut kita untuk selalu waspada dan proaktif dalam melindungi data dan sistem kita.
