Hackers norcoreanos están utilizando nuevas cepas de malware dirigidas a dispositivos Apple como parte de una campaña de ciberataques contra empresas de criptomonedas.
Según un informe publicado el miércoles por la empresa de ciberseguridad Sentinel Labs, los atacantes se hacen pasar por personas de confianza en aplicaciones de mensajería como Telegram, solicitan una reunión falsa en Zoom a través de un enlace de Google Meet y, a continuación, envían a la víctima lo que parece ser un archivo de actualización de Zoom.
Nimdoor ataca ordenadores Mac
Una vez ejecutada la "actualización", la carga útil instala un malware llamado "NimDoor" en los ordenadores Mac, que luego ataca los criptomonederos y las contraseñas del navegador.
Anteriormente, se creía que los ordenadores Mac eran menos susceptibles a los ataques y exploits, pero esto ya no es así.
Aunque el vector de ataque es relativamente común, el malware está escrito en un lenguaje de programación poco habitual llamado Nim, lo que dificulta su detección por parte del software de seguridad.
"Aunque las primeras fases del ataque siguen un patrón habitual de la RPDC que utiliza ingeniería social, scripts de engaño y actualizaciones falsas, el uso de binarios compilados con Nim en macOS es una elección más inusual", afirman los investigadores.
Nim es un lenguaje de programación relativamente nuevo y poco común que se está popularizando entre ciberdelincuentes porque puede ejecutarse en Windows, Mac y Linux sin cambios, lo que significa que los hackers pueden escribir un solo malware que funcione en todas partes.
Nim también se compila rápidamente en código, crea archivos ejecutables independientes y es muy difícil de detectar.
Los actores maliciosos alineados con Corea del Norte han experimentado anteriormente con los lenguajes de programación Go y Rust, pero Nim ofrece ventajas significativas, según los investigadores de Sentinel.
La carga útil contiene un ladrón de información
La carga útil contiene un ladrón de credenciales "diseñado para extraer silenciosamente información del navegador y del sistema, empaquetarla y exfiltrarla", dijeron.
También hay un script que roba la base de datos local cifrada de Telegram y las claves de descifrado.
Además, utiliza una sincronización inteligente, ya que espera diez minutos antes de activarse para evitar ser detectado por los escáneres de seguridad.
Los Mac también se infectan con virus
El proveedor de soluciones de ciberseguridad Huntress informó en junio que incursiones de malware similares estaban relacionadas con el grupo de hackers patrocinado por el Estado norcoreano "BlueNoroff".
Los investigadores afirmaron que el malware era interesante porque era capaz de eludir las protecciones de memoria de Apple para inyectar la carga útil.
El malware se utiliza para registrar teclas, grabar pantallas y recuperar el portapapeles, y también cuenta con un "infostealer con todas las funciones" llamado CryptoBot, que se centra en el robo de criptomonedas. El infostealer penetra en las extensiones del navegador en busca de plugins de monederos.
Esta semana, la empresa de seguridad blockchain SlowMist alertó a los usuarios de una "campaña maliciosa masiva" que involucraba docenas de extensiones falsas de Firefox diseñadas para robar las credenciales de los monederos de criptomonedas.
"En los últimos años, hemos visto cómo macOS se ha convertido en un objetivo más importante para los actores maliciosos, especialmente en lo que respecta a los atacantes altamente sofisticados y patrocinados por el Estado", concluyeron los investigadores de Sentinel Labs, desmintiendo el mito de que los Mac no se infectan con virus.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.
