Ciberataques Norcoreanos a Empresas de Criptomonedas
Los hackers norcoreanos han lanzado una nueva campaña de ciberataques dirigida a empresas de criptomonedas mediante el despliegue de una sofisticada variante de malware conocida como NimDoor. Este malware está diseñado para infiltrarse en dispositivos Apple, eludiendo las protecciones de memoria integradas para extraer datos sensibles de billeteras y navegadores de criptomonedas.
Métodos de Ataque
El ataque comienza con tácticas de ingeniería social en plataformas como Telegram, donde los hackers se hacen pasar por contactos de confianza para involucrar a las víctimas en una conversación. Luego, invitan al objetivo a una reunión falsa de Zoom, disfrazada como una sesión de Google Meet, y envían un archivo que imita una actualización legítima de Zoom. Este archivo sirve como el método de entrega para la carga maliciosa.
Funcionamiento del Malware
Una vez ejecutado, el malware instala NimDoor en el dispositivo de la víctima, que procede a recolectar información sensible, enfocándose específicamente en billeteras de criptomonedas y credenciales almacenadas en el navegador. Investigadores de la firma de ciberseguridad SentinelLabs descubrieron esta nueva táctica, señalando que el uso del lenguaje de programación Nim distingue a este malware. Los binarios compilados en Nim rara vez se dirigen a macOS, lo que hace que el malware sea menos reconocible para las herramientas de seguridad convencionales y potencialmente más difícil de analizar y detectar.
Estrategia y Eficiencia
Los investigadores observaron que los actores de amenazas norcoreanos han experimentado previamente con lenguajes de programación como Go y Rust, pero el cambio hacia Nim refleja una ventaja estratégica debido a sus capacidades multiplataforma. Esto permite que la misma base de código se ejecute en Windows, Linux y macOS sin modificaciones, aumentando la eficiencia y el alcance de sus ataques.
Componentes del Malware
La carga maliciosa incluye un componente de robo de credenciales diseñado para recolectar de manera discreta datos del navegador y del sistema, agrupar la información y transmitirla a los atacantes. Además, los investigadores identificaron un script dentro del malware que apunta a Telegram, extrayendo tanto su base de datos local encriptada como las claves de desencriptación correspondientes. Notablemente, el malware emplea un mecanismo de activación retrasada, esperando diez minutos antes de ejecutar sus operaciones en un aparente esfuerzo por evadir los escáneres de seguridad.
