Sicherheitsforscher von SentinelLabs haben eine neue Malware‑Familie für macOS aufgedeckt.
Sie ist unter dem Namen NimDoor bekannt. Hinter diesem Angriff steht wahrscheinlich ein nordkoreanischer APT‑Akteur, der gezielt auf Web3‑ und Kryptounternehmen losgeht.
So funktioniert NimDoor
- Infektionsvektor
Die Angreifer nutzen raffinierte Social‑Engineering‑Methoden – etwa Telegram‑Chats und gefälschte Einladungen zu Zoom‑Updates über Calendly. Nutzer werden dazu überredet, ein angebliches Zoom-SDK-Update auszuführen, das heimlich AppleScript ausführt und den zweiten Schadcode nachlädt. - Multi‑Stage‑InfektionsketteInstaller: Erstellt notwendige Verzeichnisse und lädt weitere Komponenten.
GoogIe LLC: Sammelt Umgebungsdaten, installiert sich über eine LaunchAgent‑Plist für Persistenz.
CoreKitAgent: Hauptbestandteil der Malware – er verwendet macOS-spezifische Mechanismen wiekqueue, WebSocket-verschlüsselung (wss) und Signalhandler (SIGINT/SIGTERM), um sich selbst zu reinstaliieren und wieder zum Leben zu erwecken. - Datenabfluss
Im letzten Schritt starten bash-Skripte („upl“ & „tlgrm“), die Browserdaten (inkl. Passwörter), iCloud-Keychain und lokale Telegram-Daten auslesen und an Command-and-Control-Server senden.
Warum diese Entdeckung alarmierend ist
- Ungewöhnliche Programmiersprache
Die Wahl von Nim als Entwicklungsumgebung; kombiniert mit AppleScript; ist neuartig und erschwert die Analyse der Malware. - Fortgeschrittene Persistenz-Technik
Die Fähigkeit von CoreKitAgent, sich nach dem Abschuss automatisch wieder zu installieren, zeigt ein hohes Maß an technischer Raffinesse. - Gezielte Angriffe auf Krypto‑Ökosysteme
Im Zuge von Finanzkriminalität, die häufig mit nordkoreanischen APT‑Gruppen in Verbindung gebracht wird, stellt diese Malware eine konkrete Bedrohung für die Web3‑Branche dar.
Das sind gute Schutzmaßnahmen
Diese Entdeckung unterstreicht, dass macOS keineswegs immun gegen hochentwickelte Malware ist. Insbesondere Personen und Firmen im Kryptobereich sollten sensibilisiert bleiben und geeignete Gegenmaßnahmen ergreifen:
- Vorsicht vor Phishing und gefälschten Update‑Hinweisen
Niemals Skripte oder Software aus unbekannten Quellen ausführen, besonders wenn sie via Chat oder E-Mail erscheinen. - Regelmäßige Updates
Immer macOS-System und installierte Programme aktuell halten. Apple liefert wichtige Sicherheits-Patches. - Antiviren-Software einsetzen
Ergänzend zu macOS-Bordmitteln kann eine Drittanbieter-Antivirenlösung erheblich zur Sicherheit beitragen. Empfehlenswert ist z.B. Intego Mac Internet Security X9, das sowohl Echtzeitschutz (VirusBarrier) als auch eine Firewall (NetBarrier) bietet.
Erinnerung: Sicherheit geht vor
Installiert ein Antivirus‑Programm wie Intego, um euer System umfassend zu schützen. Besonders wenn ihr mit kritischen Inhalten wie Kryptowährungen arbeitet. Bleibt also immer wachsam.
In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet Ihr Euch für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für Euch ändert sich am Preis nichts. Danke für Eure Unterstützung. Foto: Apple