Сучасна версія шкідливого софту NimDoor створена за допомогою мови програмування C++. За даними дослідників із компанії SentinelOne, атака починається з того, що жертву через Telegram або електронну пошту обманом змушують встановити фальшиве оновлення для Zoom, яке надсилається через Calendly та електронну пошту. Після цього на комп’ютер жертви завантажуються кілька бінарних файлів, зокрема “installer”, який готує систему до подальшого зараження, створюючи потрібні директорії та конфігураційні шляхи, пише 24 Канал з посиланням на BleepingComputer.
Один із компонентів, названий хакерами “GoogIe LLC” відповідає за збір даних про систему та створення конфігураційного файлу, який забезпечує повторний запуск шкідника після входу в систему. Інший ключовий елемент, “CoreKitAgent”, є основним виконавчим модулем NimDoor. Це найновіший складник у програмі. Він працює на основі механізму kqueue у macOS, використовуючи складну систему станів та подій для адаптації до умов виконання.
Унікальною особливістю цього шкідника є реакція на сигнали завершення процесу, такі як SIGINT та SIGTERM. Замість того, щоб припинити роботу, CoreKitAgent запускає процедуру перевстановлення, відновлюючи всі необхідні компоненти. Це робить вірус стійким до стандартних методів захисту, адже навіть спроба завершити процес призводить до його повторного розгортання.
Паралельно з основною діяльністю NimDoor інші скрипти, такі як “zoom_sdk_support.scpt”, запускають додаткові ланцюжки зараження. Вони витягають дані з веббраузерів, крадуть інформацію з Keychain, історії команд у терміналі, а також бази даних Telegram. Усе це передається на сервери зловмисників через спеціальні канали зв’язку.
Дослідники з SentinelLABS зазначають, що NimDoor є одним із найскладніших сімейств шкідливого софту для macOS, пов’язаних із північнокорейськими хакерами. Його модульна структура та інноваційні методи, такі як сигнальна стійкість, свідчать про те, що зловмисники постійно вдосконалюють свої інструменти для атак на різні платформи.
