SentinelLabs, la unidad de investigación e inteligencia de amenazas de la empresa de ciberseguridad SentinelOne, ha investigado una nueva y sofisticada campaña de ataque llamada NimDoor, dirigida a dispositivos macOS por actores maliciosos de la República Popular Democrática de Corea.
Este complejo plan implica el uso del lenguaje de programación Nim para introducir múltiples cadenas de ataque en los dispositivos utilizados en pequeñas empresas Web3, que es una tendencia reciente.
El investigador autoproclamado ZachXBT también ha descubierto una cadena de pagos realizada a empleados de TI en Corea del Sur, que podría ser parte de este talentoso grupo de hackers.
¿Cómo se llevó a cabo el ataque?
El informe detallado de SentinelLabs describe un método novedoso y confuso para comprometer dispositivos Mac.
Comienza de la manera habitual: suplantando a un contacto de confianza para programar una reunión a través de Calendly, luego el objetivo recibirá un correo electrónico para actualizar la aplicación de Zoom.
El script de actualización termina con tres líneas de código malicioso que tienen la función de recuperar y ejecutar el script de la segunda fase desde un servidor controlado hasta el enlace de la reunión de Zoom legítima.
Hacer clic en el enlace descargará automáticamente dos archivos binarios de Mac, iniciando dos cadenas de ejecución independientes: el primer archivo eliminará la información del sistema general y los datos específicos de la aplicación. El segundo archivo garantiza que el atacante tendrá acceso prolongado a la máquina afectada.
La cadena de ataques continuó luego instalando dos scripts de Bash a través de un troyano. Un script se utilizó para dirigir datos de navegadores específicos: Arc, Brave, Firefox, Chrome y Edge. El script restante roba datos cifrados de Telegram y un blob que se utiliza para descifrar esos datos. Luego, los datos se extraen a un servidor controlado.
Lo que hace que este enfoque sea único y desafiante para los analistas de seguridad es el uso de múltiples componentes de malware y diversas técnicas para introducir y disfrazar el malware, lo que dificulta enormemente su detección.
Seguimiento de dinero
ZachXBT, un investigador de blockchain anónimo, recientemente publicó en X sus últimos hallazgos sobre los grandes pagos realizados a varios desarrolladores de la República Popular Democrática de Corea (DPRK) que han estado trabajando en varios proyectos desde principios de año.
Él ha identificado a ocho trabajadores que laboran para 12 empresas diferentes.
El descubrimiento de él indica que se han enviado 2,76 millones de dólares USDC desde cuentas de Circle a direcciones relacionadas con desarrolladores cada mes. Estas direcciones están muy cerca de una dirección que Tether incluyó en su lista negra en 2023, ya que está relacionada con el presunto autor intelectual Sim Hyon Sop.
Zach sigue monitoreando grupos de direcciones similares, pero no ha hecho pública ninguna información porque aún están en funcionamiento.
Él advirtió que una vez que estos trabajadores tomen posesión del contrato, el proyecto básico estará en alto riesgo.
“Creo que cuando un grupo contrata a muchos empleados de TI de la DPRK (, es un indicador razonable para determinar que la startup fracasará. A diferencia de otras amenazas para la industria, estos empleados tienen poca sofisticación, por lo que son principalmente el resultado de la negligencia del propio grupo.”
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
¡Ten Cuidado! Los Hackers de Corea del Norte Están Apuntando a los Usuarios de Mac de una Manera Muy Creativa
SentinelLabs, la unidad de investigación e inteligencia de amenazas de la empresa de ciberseguridad SentinelOne, ha investigado una nueva y sofisticada campaña de ataque llamada NimDoor, dirigida a dispositivos macOS por actores maliciosos de la República Popular Democrática de Corea. Este complejo plan implica el uso del lenguaje de programación Nim para introducir múltiples cadenas de ataque en los dispositivos utilizados en pequeñas empresas Web3, que es una tendencia reciente. El investigador autoproclamado ZachXBT también ha descubierto una cadena de pagos realizada a empleados de TI en Corea del Sur, que podría ser parte de este talentoso grupo de hackers. ¿Cómo se llevó a cabo el ataque? El informe detallado de SentinelLabs describe un método novedoso y confuso para comprometer dispositivos Mac. Comienza de la manera habitual: suplantando a un contacto de confianza para programar una reunión a través de Calendly, luego el objetivo recibirá un correo electrónico para actualizar la aplicación de Zoom. El script de actualización termina con tres líneas de código malicioso que tienen la función de recuperar y ejecutar el script de la segunda fase desde un servidor controlado hasta el enlace de la reunión de Zoom legítima. Hacer clic en el enlace descargará automáticamente dos archivos binarios de Mac, iniciando dos cadenas de ejecución independientes: el primer archivo eliminará la información del sistema general y los datos específicos de la aplicación. El segundo archivo garantiza que el atacante tendrá acceso prolongado a la máquina afectada. La cadena de ataques continuó luego instalando dos scripts de Bash a través de un troyano. Un script se utilizó para dirigir datos de navegadores específicos: Arc, Brave, Firefox, Chrome y Edge. El script restante roba datos cifrados de Telegram y un blob que se utiliza para descifrar esos datos. Luego, los datos se extraen a un servidor controlado. Lo que hace que este enfoque sea único y desafiante para los analistas de seguridad es el uso de múltiples componentes de malware y diversas técnicas para introducir y disfrazar el malware, lo que dificulta enormemente su detección. Seguimiento de dinero ZachXBT, un investigador de blockchain anónimo, recientemente publicó en X sus últimos hallazgos sobre los grandes pagos realizados a varios desarrolladores de la República Popular Democrática de Corea (DPRK) que han estado trabajando en varios proyectos desde principios de año. Él ha identificado a ocho trabajadores que laboran para 12 empresas diferentes. El descubrimiento de él indica que se han enviado 2,76 millones de dólares USDC desde cuentas de Circle a direcciones relacionadas con desarrolladores cada mes. Estas direcciones están muy cerca de una dirección que Tether incluyó en su lista negra en 2023, ya que está relacionada con el presunto autor intelectual Sim Hyon Sop. Zach sigue monitoreando grupos de direcciones similares, pero no ha hecho pública ninguna información porque aún están en funcionamiento. Él advirtió que una vez que estos trabajadores tomen posesión del contrato, el proyecto básico estará en alto riesgo. “Creo que cuando un grupo contrata a muchos empleados de TI de la DPRK (, es un indicador razonable para determinar que la startup fracasará. A diferencia de otras amenazas para la industria, estos empleados tienen poca sofisticación, por lo que son principalmente el resultado de la negligencia del propio grupo.”