Los cibercriminales norcoreanos han estado atacando a las empresas de criptomonedas utilizando una nueva variante de malware que explota dispositivos Apple en un ataque de múltiples etapas.
Los investigadores de la firma de ciberseguridad Sentinel Labs han emitido una advertencia sobre la campaña, que aprovecha la ingeniería social y técnicas avanzadas de persistencia para comprometer los sistemas macOS.
El malware, denominado "NimDoor", está escrito en el menos conocido lenguaje de programación Nim y es capaz de evadir herramientas antivirus tradicionales.
Según Sentinel Labs, los atacantes inician contacto haciéndose pasar por personas de confianza en plataformas de mensajería como Telegram. Las víctimas, que en este caso parecen ser empleados de empresas de blockchain o Web3, son atraídas a reuniones falsas de Zoom a través de enlaces de phishing y se les instruye que instalen lo que parece ser una actualización rutinaria del SDK de Zoom.
Una vez ejecutado, el script de actualización instala múltiples etapas de malware en el dispositivo Mac de la víctima. Estos incluyen balizas basadas en AppleScript, scripts de Bash para el robo de credenciales y binarios compilados en Nim y C++ para persistencia y ejecución remota de comandos.
Los binarios son archivos de programas independientes que realizan tareas específicas dentro de la cadena de malware. Un binario, llamado CoreKitAgent, utiliza un mecanismo de persistencia basado en señales que se ejecuta cuando los usuarios intentan cerrar el malware, lo que le permite mantenerse activo incluso después de que el sistema se reinicie.
Las criptomonedas son un objetivo clave de la operación. El malware busca específicamente credenciales almacenadas en el navegador y datos de aplicaciones relacionados con billeteras digitales.
El malware ejecuta scripts diseñados para extraer información de navegadores populares como Chrome, Brave, Edge y Firefox, así como del gestor de contraseñas Keychain de Apple. Otro componente tiene como objetivo la base de datos cifrada de Telegram y archivos de claves, exponiendo potencialmente frases semilla de billetera y claves privadas intercambiadas a través de la aplicación de mensajería.
Hackers norcoreanos responsables
Sentinel Labs ha atribuido la campaña a un actor de amenazas alineado con Corea del Norte, continuando un patrón de ciberataques enfocados en criptomonedas por parte de la República Popular Democrática de Corea.
Los grupos de hackers como Lazarus han dirigido durante mucho tiempo sus ataques a empresas de activos digitales en un esfuerzo por eludir las sanciones internacionales y financiar operaciones estatales. Operaciones anteriores han visto malware escrito en Go y Rust, pero esta campaña marca uno de los primeros despliegues importantes de Nim contra objetivos de macOS.
Como se informó anteriormente en crypto.news, a finales de 2023, los investigadores observaron otra campaña vinculada a Corea del Norte que desplegó un malware basado en Python conocido como Kandykorn. Se distribuyó a través de servidores de Discord disfrazado como un bot de arbitraje de criptomonedas y tuvo como objetivo principal a ingenieros de blockchain que usaban macOS.
Sentinel Labs ha advertido que, a medida que los actores de amenazas adoptan cada vez más lenguajes de programación oscuros y técnicas sofisticadas, las suposiciones de seguridad tradicionales sobre macOS ya no son válidas.
En los últimos meses, varias cepas de malware han tenido como objetivo a los usuarios de Apple, incluyendo SparkKitty, que robó frases semilla a través de galerías de fotos en iOS, y un troyano que reemplazó aplicaciones de billetera en macOS por una versión maliciosa.
Ver originales
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Los hackers norcoreanos apuntan a macOS en la última campaña de malware dirigida a empresas de criptomonedas
Los cibercriminales norcoreanos han estado atacando a las empresas de criptomonedas utilizando una nueva variante de malware que explota dispositivos Apple en un ataque de múltiples etapas.
Los investigadores de la firma de ciberseguridad Sentinel Labs han emitido una advertencia sobre la campaña, que aprovecha la ingeniería social y técnicas avanzadas de persistencia para comprometer los sistemas macOS.
El malware, denominado "NimDoor", está escrito en el menos conocido lenguaje de programación Nim y es capaz de evadir herramientas antivirus tradicionales.
Según Sentinel Labs, los atacantes inician contacto haciéndose pasar por personas de confianza en plataformas de mensajería como Telegram. Las víctimas, que en este caso parecen ser empleados de empresas de blockchain o Web3, son atraídas a reuniones falsas de Zoom a través de enlaces de phishing y se les instruye que instalen lo que parece ser una actualización rutinaria del SDK de Zoom.
Una vez ejecutado, el script de actualización instala múltiples etapas de malware en el dispositivo Mac de la víctima. Estos incluyen balizas basadas en AppleScript, scripts de Bash para el robo de credenciales y binarios compilados en Nim y C++ para persistencia y ejecución remota de comandos.
Los binarios son archivos de programas independientes que realizan tareas específicas dentro de la cadena de malware. Un binario, llamado CoreKitAgent, utiliza un mecanismo de persistencia basado en señales que se ejecuta cuando los usuarios intentan cerrar el malware, lo que le permite mantenerse activo incluso después de que el sistema se reinicie.
Las criptomonedas son un objetivo clave de la operación. El malware busca específicamente credenciales almacenadas en el navegador y datos de aplicaciones relacionados con billeteras digitales.
El malware ejecuta scripts diseñados para extraer información de navegadores populares como Chrome, Brave, Edge y Firefox, así como del gestor de contraseñas Keychain de Apple. Otro componente tiene como objetivo la base de datos cifrada de Telegram y archivos de claves, exponiendo potencialmente frases semilla de billetera y claves privadas intercambiadas a través de la aplicación de mensajería.
Hackers norcoreanos responsables
Sentinel Labs ha atribuido la campaña a un actor de amenazas alineado con Corea del Norte, continuando un patrón de ciberataques enfocados en criptomonedas por parte de la República Popular Democrática de Corea.
Los grupos de hackers como Lazarus han dirigido durante mucho tiempo sus ataques a empresas de activos digitales en un esfuerzo por eludir las sanciones internacionales y financiar operaciones estatales. Operaciones anteriores han visto malware escrito en Go y Rust, pero esta campaña marca uno de los primeros despliegues importantes de Nim contra objetivos de macOS.
Como se informó anteriormente en crypto.news, a finales de 2023, los investigadores observaron otra campaña vinculada a Corea del Norte que desplegó un malware basado en Python conocido como Kandykorn. Se distribuyó a través de servidores de Discord disfrazado como un bot de arbitraje de criptomonedas y tuvo como objetivo principal a ingenieros de blockchain que usaban macOS.
Sentinel Labs ha advertido que, a medida que los actores de amenazas adoptan cada vez más lenguajes de programación oscuros y técnicas sofisticadas, las suposiciones de seguridad tradicionales sobre macOS ya no son válidas.
En los últimos meses, varias cepas de malware han tenido como objetivo a los usuarios de Apple, incluyendo SparkKitty, que robó frases semilla a través de galerías de fotos en iOS, y un troyano que reemplazó aplicaciones de billetera en macOS por una versión maliciosa.