- El malware NimDoor, de origen norcoreano, ataca empresas de criptomonedas y Web3 en macOS a través de Zoom y Telegram.
- Utiliza ingeniería social con enlaces falsos de videollamadas y simula ser una actualización legítima de Zoom para infectar equipos.
- Está desarrollado en lenguajes poco habituales en amenazas para macOS, como Nim, junto a Bash, C++ y AppleScript, lo que dificulta su detección.
- Establece persistencia en el sistema, se reinstala automáticamente y roba datos sensibles, incluyendo credenciales y bases de datos de usuarios de Telegram.
Expertos en ciberseguridad han puesto el foco en un ataque informático especialmente avanzado dirigido a sistemas macOS, con el que piratas informáticos norcoreanos han logrado comprometer la seguridad de empresas ligadas al mundo de las criptomonedas y Web3. La técnica utilizada destaca por su combinación de ingeniería social y malware, aprovechando invitaciones a videollamadas de Zoom y el uso de Telegram para contactar con las víctimas. Este incidente ha generado gran preocupación en el sector, principalmente por el elevado nivel de sofisticación del procedimiento empleado y la dificultad para detectarlo.
El programa malicioso responsable, conocido como NimDoor, ha sido analizado en profundidad por la firma de seguridad SentinelLabs, que lo ha definido como uno de los ataques más complejos vistos en macOS hasta el momento. NimDoor no solo engaña a los usuarios simulando una actualización de Zoom, sino que además combina varios lenguajes de programación poco comunes en campañas maliciosas para este sistema operativo, como Nim, Bash, C++ y AppleScript, reforzando su capacidad para pasar desapercibido y persistir en el sistema comprometido.
Así opera NimDoor: De Telegram a Zoom y la infiltración en macOS
El proceso de infección se inicia cuando los atacantes contactan a la víctima a través de Telegram, haciéndose pasar por una persona de confianza o colaborador. Una vez establecida la comunicación, se propone agendar una videollamada empleando el calendario, para después enviar un correo electrónico que contiene un enlace fraudulento de Zoom. Este enlace incluye instrucciones para instalar una supuesta actualización del «Zoom SDK», cuando en realidad se trata de un archivo cargado con el malware.
Lo más llamativo de este archivo es que está diseñado para dificultar su análisis, ya que presenta más de 10.000 líneas en blanco antes del código malicioso, ocultando así su verdadero propósito a simple vista. Cuando el usuario ejecuta el archivo, se activa una secuencia compleja de procesos que conduce a la creación de una conexión cifrada con un servidor de comando y control, permitiendo a los atacantes obtener acceso remoto al equipo y establecer diversos mecanismos de persistencia.
Una de las características más peligrosas de NimDoor es su capacidad para reinstalarse automáticamente en caso de que el malware sea eliminado o el dispositivo se reinicie, garantizando así la permanencia del atacante en el sistema. Además, emplea técnicas de inyección de procesos y utiliza comunicaciones a través de protocolo wss cifrado (TLS), lo que dificulta aún más su detección y mitiga la eficacia de algunas soluciones de seguridad tradicionales.
Nuevas tácticas y preocupaciones en seguridad
El análisis realizado por los especialistas de SentinelLabs resalta varias innovaciones técnicas presentes en NimDoor. Por ejemplo, la combinación de lenguajes como Nim, C++, Bash y AppleScript no es habitual en amenazas dirigidas a macOS, y da muestra del esfuerzo por parte de los atacantes para esquivar barreras de seguridad y explotar debilidades poco exploradas.
Otro aspecto relevante es la capacidad del malware para robar información sensible. NimDoor es capaz de extraer credenciales guardadas en el Keychain, información contenida en navegadores web y hasta bases de datos de usuarios de Telegram. Así, el alcance del daño potencial es muy elevado, especialmente para organizaciones relacionadas con activos digitales o blockchain.
El propio mecanismo de persistencia del malware es considerado innovador, ya que se activa cuando intercepta ciertas señales del sistema (por ejemplo, SIGINT o SIGTERM), asegurando que, incluso si se intenta detener el proceso, el software vuelva a instalarse y permanezca operativo sin que el usuario lo perciba.
Los expertos advierten que este tipo de ciberataques, que combinan el engaño digital con la explotación de herramientas populares como Zoom y redes de mensajería como Telegram, demuestran el nivel de evolución de las amenazas a las que se enfrentan las empresas tecnológicas. La diversidad de técnicas empleadas y la capacidad de actualización constante del malware obligan a usuarios y organizaciones a extremar precauciones.
