Nordkoreanische Hacker sind erneut in der Kryptowelt aktiv – diesmal mit noch ausgeklügelteren Methoden. Laut einer Untersuchung von Sentinel Labs setzen die Angreifer eine neue Malware namens NimDoor ein. Diese Schadsoftware richtet sich gezielt gegen Krypto-Unternehmen und wird über Telegram verbreitet, getarnt als vermeintliches Zoom-Update.
Besonders gefährlich an NimDoor ist, dass die Malware in Nim geschrieben wurde – einer wenig verbreiteten Programmiersprache. Dadurch gelingt es den Hackern, Apples Sicherheitsvorkehrungen zu umgehen und ungestört Passwörter, Krypto-Wallets und Telegram-Daten zu stehlen.
Stablecoin ist erhältlich bei Bitvavo und Bybit.
Opfer werden über Telegram und gefälschte Zoom-Updates in die Falle gelockt
Der Angriff beginnt über Telegram, wo die Opfer von vermeintlich vertrauenswürdigen Kontakten kontaktiert werden. Sie erhalten eine Einladung zu einem Meeting und werden aufgefordert, ein angebliches Zoom-SDK-Update zu installieren.
In Wahrheit laden sie dabei ein AppleScript herunter, das eine auffällige Schreibfehler enthält („Zook“ statt „Zoom“) und mit Tausenden Leerzeilen gespickt ist, um den bösartigen Code zu verbergen. Nach Ausführung lädt das Script automatisch weitere Malware von einer Domain nach, die der offiziellen Zoom-Seite zum Verwechseln ähnlich sieht.
Ab diesem Moment startet ein komplexer Angriff, bei dem verschiedene Programme und Scripts nachgeladen werden. Damit verschaffen sich die Angreifer Zugriff auf Passwörter, Krypto-Wallets und sogar auf die lokale Telegram-Datenbank.
Fortschrittliche Malware mit ausgefeilten Methoden
NimDoor fällt insbesondere durch seine ausgeklügelte Technik auf. Die Malware nutzt unter anderem WSS, eine gesicherte Version des WebSocket-Protokolls, für die Kommunikation mit den Kontrollservern der Angreifer – ein ungewöhnlicher Ansatz für macOS-Malware.
Zudem kommen Techniken zum Einsatz, die dafür sorgen, dass sich die Schadsoftware selbst nach einem Neustart oder Löschversuchen hartnäckig im System hält. Der Einsatz von AppleScript und Bash-Scripts erschwert zusätzlich die Entdeckung der Malware.
Laut Sentinel Labs zeigt dieser Angriff, dass Hacker zunehmend auf weniger bekannte Programmiersprachen setzen, um Sicherheitsmechanismen gezielt zu umgehen. Die Experten betonen, dass NimDoor vermutlich nur den Anfang einer neuen Angriffswelle auf Krypto-Unternehmen markiert. Auch Krypto-Betrügereien werden immer raffinierter.
Weitere Details zu diesem Angriff finden Sie in der ausführlichen Analyse von Sentinel Labs.