Вредонос NimDoor для macOS снова используется хакерами для атак на криптоиндустрию

Исследователи компании SentinelOne сообщили о возобновлении активности зловреда NimDoor — вредоносной программы для macOS, предназначенной для кражи цифровых активов. По их данным, вредонос вновь применяется в кибероперациях, проводимых якобы при поддержке властей Северной Кореи. Целью атак становятся участники криптовалютного и web3-секторов.

Специалисты SentinelLABS отметили, что зловред использует нетипичную для этой платформы комбинацию языков Nim и C++. NimDoor отличается продвинутым набором функций и нестандартным подходом к сохранению присутствия в системе. В числе каналов доставки зафиксированы письма, фейковые страницы в Calendly и переписка через Telegram. Потенциальной жертве предлагается установить поддельное обновление SDK для Zoom — при его запуске происходит компрометация системы.

На первом этапе заражения запускается модуль под названием ‘installer’, который подготавливает структуру директорий и прописывает конфигурации. Затем вредоносный код выгружает два дополнительных компонента — ‘GoogIe LLC’ и ‘CoreKitAgent’.

GoogIe LLC собирает информацию об окружении, создаёт конфигурационный файл и сохраняет его во временный каталог в шестнадцатеричном виде. Затем в системе жертвы регистрируется LaunchAgent под видом com.google.update.plist, что позволяет автоматически запускать модуль при каждой авторизации пользователя и хранить ключи для последующего доступа.

Главным компонентом считается CoreKitAgent — полноценная полезная нагрузка NimDoor, использующая API macOS kqueue для асинхронного управления задачами. Этот модуль построен в виде 10-состояний конечного автомата с жёстко заданными переходами, что позволяет адаптироваться к различным условиям и усложняет анализ.

Наиболее заметной особенностью специалисты называют систему самосохранения, основанную на перехвате сигнальных вызовов SIGINT и SIGTERM. Обычно эти сигналы применяются для завершения процесса, но CoreKitAgent запускает в ответ на них процедуру автоматического восстановления. В результате, если пользователь или антивирус попытается завершить выполнение вредоносного модуля, программа автоматически перезапускает себя, повторно устанавливая компоненты и обновляя разрешения на их исполнение.

В SentinelLABS подчёркивают, что такие методы создают стойкость вредоносного ПО к стандартным попыткам удаления и деактивации. Это делает NimDoor особенно опасным инструментом в арсенале групп, занимающихся цифровыми атаками на финансовые технологии.