Una nueva campaña de ataques cibernéticos ha sido identificada por investigadores de seguridad de SentinelOne. Según el informe técnico, grupos de hackers asociados con el gobierno de Corea del Norte están utilizando métodos sofisticados para invadir computadoras con el sistema operativo macOS. El objetivo principal de estos ataques es obtener acceso a información y robar criptomonedas.
El método de infección comienza con enfoques a través de la aplicación Telegram. Los atacantes se hacen pasar por contactos conocidos de las víctimas, enviando invitaciones para falsas reuniones en Zoom. Posteriormente, las víctimas reciben correos electrónicos que contienen enlaces maliciosos disfrazados como actualizaciones legítimas de software de Zoom. Estos enlaces, en realidad, distribuyen un malware identificado como NimDoor.
El malware utiliza técnicas avanzadas de ofuscación para evitar la detección, incluyendo la inserción de miles de líneas de código vacío en sus archivos. Después de la instalación inicial, NimDoor descarga y ejecuta componentes adicionales que permiten a los atacantes controlar remotamente el sistema comprometido.
- Lee también: Dogecoin supera los 0,17 USD con el aumento de Bitcoin – TOKEN6900 se prepara para un rally explosivo
Nuevas técnicas aplicadas para robar criptomonedas
Entre las técnicas empleadas por los atacantes para robar criptomonedas, se destacan la inyección de código malicioso en procesos legítimos del sistema operativo, el uso de comunicaciones cifradas a través del protocolo WebSocket (wss), y un mecanismo de persistencia que se mantiene activo incluso después de reiniciar el sistema. Estas características hacen que el malware sea particularmente difícil de detectar y eliminar.
Los sistemas infectados tienen diversos tipos de información sensible recopilada por los atacantes. Esto incluye credenciales almacenadas en el Keychain de macOS, datos de navegadores web como Chrome y Firefox, historial de conversaciones en Telegram e información relacionada con carteras de criptomonedas. El análisis técnico sugiere que el foco principal son las organizaciones del ecosistema Web3 y de criptomonedas.
Una característica notable de esta campaña es el uso de lenguajes de programación menos convencionales, como Nim y Crystal, en el desarrollo del malware. Esta elección parece tener como objetivo dificultar la detección por sistemas de seguridad tradicionales, que pueden tener menor familiaridad con códigos desarrollados en estos lenguajes.
Para protegerse contra este tipo de amenaza, los expertos recomiendan verificar cuidadosamente todos los enlaces y archivos adjuntos recibidos, incluso si parecen provenir de fuentes confiables. Es esencial descargar actualizaciones de software solo desde fuentes oficiales y mantener el sistema operativo y las aplicaciones de seguridad siempre actualizados. El monitoreo regular de los procesos en ejecución también puede ayudar a identificar actividades sospechosas.
El informe técnico completo, disponible en el sitio web de SentinelOne, proporciona detalles adicionales sobre los vectores de ataque, técnicas específicas utilizadas e indicadores de compromiso que pueden ser utilizados para la detección y prevención. Esta información es especialmente relevante para organizaciones del sector de criptomonedas y tecnología que utilizan sistemas macOS en sus operaciones.
