Según ShibDaily, los hackers norcoreanos han lanzado una nueva campaña de ciberataques dirigida a empresas de criptomonedas mediante el despliegue de una sofisticada cepa de malware conocida como NimDoor. Este malware está diseñado para infiltrarse en dispositivos Apple, eludiendo las protecciones de memoria incorporadas para extraer datos sensibles de billeteras criptográficas y navegadores.
El ataque comienza con tácticas de ingeniería social en plataformas como Telegram, donde los hackers se hacen pasar por contactos de confianza para involucrar a las víctimas en una conversación. Luego invitan al objetivo a una falsa reunión de Zoom, disfrazada como una sesión de Google Meet, y envían un archivo que imita una actualización legítima de Zoom. Este archivo sirve como el método de entrega para la carga maliciosa. Una vez ejecutado, el malware instala NimDoor en el dispositivo de la víctima, que procede a cosechar información sensible, específicamente apuntando a billeteras criptográficas y credenciales de navegador almacenadas.
Investigadores de la firma de ciberseguridad SentinelLabs descubrieron esta nueva táctica, señalando que el uso del lenguaje de programación Nim distingue a este malware. Los binarios compilados en Nim rara vez se ven dirigidos a macOS, lo que hace que el malware sea menos reconocible para las herramientas de seguridad convencionales y potencialmente más difícil de analizar y detectar. Los investigadores observaron que los actores de amenazas norcoreanos han experimentado previamente con lenguajes de programación como Go y Rust, pero el cambio hacia Nim refleja una ventaja estratégica debido a sus capacidades multiplataforma. Esto permite que la misma base de código se ejecute en Windows, Linux y macOS sin modificación, aumentando la eficiencia y el alcance de sus ataques.
La carga maliciosa incluye un componente de robo de credenciales diseñado para cosechar de manera discreta datos del navegador y del sistema, agrupar la información y transmitirla a los atacantes. Además, los investigadores identificaron un script dentro del malware que apunta a Telegram al extraer tanto su base de datos local cifrada como las correspondientes claves de descifrado. Notablemente, el malware emplea un mecanismo de activación retrasada, esperando diez minutos antes de ejecutar sus operaciones en un aparente esfuerzo por evadir los escáneres de seguridad.