Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware NimDoor

Malware NimDoor

Por Mezo en Software malicioso
Traducir a:

Profesionales de ciberseguridad han descubierto una nueva y sigilosa familia de malware para macOS, denominada NimDoor, que representa una grave amenaza debido a sus avanzadas técnicas de persistencia, mecanismos ocultos de robo de datos y sofisticadas capacidades de evasión. Esta campaña maliciosa se atribuye a actores de amenazas alineados con Corea del Norte que atacan los sectores de la Web3 y las criptomonedas.

Los hackers norcoreanos recurren a Nim y macOS

Los actores de amenazas sospechosos de estar vinculados con Corea del Norte ahora utilizan el lenguaje de programación Nim en su arsenal de malware. Esto marca una evolución continua en sus herramientas, ya que en campañas anteriores se utilizaban lenguajes como Go y Rust. El nuevo uso de Nim demuestra una intención de innovación, especialmente en la creación de amenazas multiplataforma difíciles de detectar y analizar.

En esta campaña, los atacantes se dirigen específicamente a organizaciones centradas en la Web3 y las criptomonedas, lo que sugiere una operación con motivaciones financieras con interés en interrumpir o infiltrarse en la infraestructura financiera digital.

Técnicas muy inusuales de macOS

Lo que hace que NimDoor sea particularmente preocupante es su enfoque poco convencional para infectar macOS. En particular, utiliza:

  • Inyección de procesos, una técnica poco común en el malware de macOS, que permite que la amenaza secuestre y manipule procesos legítimos.
  • Canales de comunicación WSS (WebSocket Secure) para interacciones C2 cifradas.
  • Un nuevo método de persistencia que aprovecha los controladores de señales SIGINT y SIGTERM, lo que permite que el malware se reinstale cuando se termina o al reiniciar el sistema.

Estas características le permiten mantener un perfil bajo y permanecer resistente ante interrupciones comunes iniciadas por el usuario o el sistema.

Cadena de ataques impulsada por la ingeniería social

El ataque comienza con una estrategia de ingeniería social:

  • Las víctimas son contactadas a través de plataformas como Telegram y engañadas para que programen una reunión de Zoom usando Calendly.
  • Reciben un correo electrónico falso con un script de actualización del SDK de Zoom, supuestamente para garantizar la compatibilidad con el software de videoconferencia.

Esto provoca la ejecución de un AppleScript malicioso que descarga un script de segunda etapa desde un servidor remoto y redirige al usuario a un enlace legítimo de Zoom. El script de segunda etapa extrae archivos ZIP que contienen:

  • Binarios para establecer la persistencia
  • Scripts de Bash para robar datos del sistema

El rol de InjectWithDyldArm64

En el núcleo del proceso de infección se encuentra un cargador de C++ conocido como InjectWithDyldArm64, o simplemente InjectWithDyld. Este componente es crucial para la distribución eficaz y encubierta del malware. Comienza descifrando dos binarios incrustados: uno llamado "Target" y el otro "trojan1_arm64". Tras el descifrado, inicia el proceso Target en estado suspendido. Con el proceso pausado, el cargador inyecta el binario trojan1_arm64 y reanuda su ejecución. Este método permite que las cargas maliciosas se distribuyan y activen de forma muy sigilosa, evadiendo las defensas estándar del sistema y minimizando la probabilidad de detección.

Robo de credenciales y vigilancia del sistema

Una vez activo, el malware establece una conexión con un servidor remoto de Comando y Control (C2), lo que le permite realizar diversas operaciones maliciosas. Estas incluyen la recopilación de información detallada del sistema, la ejecución remota de comandos arbitrarios, la navegación por diferentes directorios y la transmisión de los resultados de estas acciones al atacante.

La amenaza se intensifica con la participación del componente trojan1_arm64, que potencia el ataque al recuperar dos cargas útiles adicionales de la infraestructura C2. Estas cargas útiles están diseñadas específicamente para recopilar información confidencial. Sus objetivos principales son las credenciales de inicio de sesión almacenadas en navegadores web de uso común (Arc, Brave, Chrome, Edge y Firefox), así como los datos de usuario de la aplicación de mensajería Telegram.

Mecanismos de persistencia

Además de sus componentes principales, el malware también implementa ejecutables basados en Nim que activan un módulo conocido como CoreKitAgent. Este módulo desempeña un papel fundamental para garantizar la resiliencia del malware, ya que monitoriza cualquier intento de detener su funcionamiento. Para mantener su presencia, instala controladores de señales personalizados para SIGINT y SIGTERM, lo que le permite reiniciarse automáticamente si un usuario o una herramienta de seguridad intenta desactivarlo. Este mecanismo integrado refuerza significativamente la persistencia del malware.

Los atacantes también hacen un uso extensivo de AppleScript, no solo durante la fase inicial de la infección, sino también durante toda la operación del malware para la monitorización y el control continuos. Mediante esta capacidad de scripting, el malware envía señales periódicas cada 30 segundos a servidores C2 codificados, extrae información sobre los procesos en ejecución y ejecuta nuevos comandos emitidos por el actor de amenazas remoto.

Por qué Nim hace que el malware sea más peligroso

El uso del lenguaje de programación Nim ofrece a los atacantes ventajas considerables. La capacidad de Nim para ejecutar funciones en tiempo de compilación les permite:

  • Incorporar una lógica compleja que es difícil de detectar
  • Ofuscar el flujo de control dentro de los binarios
  • Entremezcla el código del desarrollador y el de tiempo de ejecución, lo que hace que el análisis sea significativamente más difícil

Esto da como resultado binarios compactos y de alto funcionamiento con visibilidad reducida para los motores de detección de malware tradicionales.

NimDoor es un claro recordatorio de que macOS ya no es inmune a las amenazas persistentes avanzadas. Dado que actores norcoreanos atacan esta plataforma utilizando técnicas en evolución y lenguajes de programación menos conocidos, mantenerse informado y alerta es más crucial que nunca.

Tendencias

Mas Visto

Cargando...