SentinelLabs, la sección de investigación de SentinelOne, ha revelado una nueva campaña cibernética. Este ataque se dirige a empresas del ámbito Web3 y criptomonedas en sistemas macOS. Las investigaciones apuntan a un grupo de hackers norcoreanos. El malware, llamado NimDoor, utiliza técnicas avanzadas de ingeniería social.
Un ataque meticulosamente planeado
El proceso inicia en Telegram, donde los atacantes contactan a sus víctimas. Luego, invitan a una reunión por Zoom. Al aceptar, se ejecuta un AppleScript malicioso, que se presenta como una actualización del SDK de Zoom. Este script activa el proceso de descarga del malware. La complejidad de la cadena de ataque incluye múltiples capas de cifrado y ejecución asíncrona.
Técnicas de evasión sofisticadas
NimDoor emplea una táctica poco común: la inyección de procesos. Esta técnica es rara en el malware para macOS. Además, se comunica con los servidores de los atacantes a través de WSS. Un mecanismo de persistencia garantiza que el malware se reinstale automáticamente. Así, incluso si la víctima intenta eliminarlo, el malware permanece. Esto ocurre gracias a la manipulación de los manejadores de señales SIGINT y SIGTERM.
Dificultades en la detección del malware
A diferencia de otros malware, NimDoor utiliza el lenguaje de programación Nim. Este lenguaje es poco común y a menudo se combina con C++. Esto complica los esfuerzos de detección. NimDoor puede robar datos sensibles. Entre estos, se encuentran historiales de navegación y credenciales de Telegram. Usa scripts Bash para realizar estas acciones. Después, cifra y exfiltra la información sin que la víctima lo note.
Un riesgo creciente para el sector tecnológico
Esta campaña resalta la evolución de las tácticas de los grupos APT norcoreanos. Al apuntar a empresas del sector Web3, se enfocan en un área en expansión, a menudo desprotegida. Los hackers demuestran gran adaptabilidad. Implementan lenguajes no convencionales y técnicas de persistencia mejoradas. Además, utilizan arquitecturas modulares y comunicaciones cifradas. Estas acciones reflejan un objetivo claro: infiltrar y robar información valiosa.
SentinelLabs proporciona un análisis técnico detallado para ayudar a las organizaciones a contrarrestar esta amenaza. Las empresas deben estar preparadas y alertas. La seguridad cibernética es más crucial que nunca.
Como joven medio de comunicación independiente, Seguridad y Firewall necesita tu ayuda. Apóyanos siguiéndonos y marcándonos como favoritos en Google News. Gracias por tu apoyo.
