🔹 Invitaciones de reuniones falsas de Zoom y enlaces de actualización engañan a los equipos de Web3
🔹 Nuevo malware NimDoor infiltra macOS con técnicas avanzadas de evasión
🔹 Los atacantes roban datos del navegador, contraseñas y chats de Telegram
Las empresas de Web3 y criptomonedas bajo asedio por el malware NimDoor
Los expertos en seguridad de SentinelLabs han descubierto una sofisticada campaña de malware que tiene como objetivo a las startups de Web3 y a las empresas de criptomonedas. Los ataques, vinculados a grupos norcoreanos, utilizan una combinación de ingeniería social y sigilo técnico para desplegar el malware NimDoor, escrito en el poco utilizado lenguaje de programación Nim para eludir la detección de antivirus.
La Configuración: Reuniones falsas de Zoom a través de Telegram
Los hackers inician contacto a través de Telegram, haciéndose pasar por contactos conocidos. Invitan a las víctimas a programar reuniones a través de Calendly, luego les envían enlaces a lo que parecen ser actualizaciones de software de Zoom. Estos enlaces conducen a dominios falsos como support.us05web-zoom.cloud, imitando las URL legítimas de Zoom y alojando archivos de instalación maliciosos.
Estos archivos contienen miles de líneas de espacio en blanco, lo que hace que parezcan "legítimamente grandes." Ocultas dentro hay solo tres líneas de código cruciales, que descargan y ejecutan la verdadera carga del ataque.
Malware NimDoor: Spyware que apunta específicamente a macOS
Una vez ejecutado, el malware NimDoor opera en dos fases principales:
🔹 Extracción de datos – robo de contraseñas guardadas, historiales de navegación y credenciales de inicio de sesión de navegadores populares como Chrome, Firefox, Brave, Edge y Arc.
🔹 Persistencia del sistema: mantener el acceso a largo plazo a través de procesos en segundo plano sigilosos y archivos del sistema disfrazados.
Un componente clave se dirige específicamente a Telegram, robando bases de datos de chats encriptados y claves de desencriptación, dando a los atacantes acceso a conversaciones privadas sin conexión.
Construido para Sobrevivir: Técnicas de Evasión y Reinstalación
NimDoor emplea una serie de mecanismos de persistencia avanzados:
🔹 Se reinstala automáticamente si los usuarios intentan terminarlo o eliminarlo
🔹 Crea archivos y carpetas ocultos que parecen componentes legítimos del sistema macOS
🔹 Se conecta al servidor del atacante cada 30 segundos para recibir instrucciones, disfrazado como tráfico de internet normal
🔹 Retrasa la ejecución durante 10 minutos para evitar la detección temprana por parte del software de seguridad
Difícil de quitar sin herramientas profesionales
Debido a estas técnicas, NimDoor es extremadamente difícil de eliminar con herramientas estándar. A menudo se requiere software de seguridad especializado o intervención profesional para limpiar completamente los sistemas infectados.
Conclusión: Los ciberataques modernos ahora parecen invitaciones de calendario
Ataques como NimDoor demuestran lo astutamente que los grupos norcoreanos imitan flujos de trabajo diarios para penetrar incluso en objetivos cautelosos. Enlaces falsos de Zoom y actualizaciones de apariencia inocente pueden llevar a una completa compromisión del sistema.
Los usuarios nunca deben descargar actualizaciones de fuentes no oficiales, siempre verificar los nombres de dominio y mantenerse alerta ante mensajes de software inesperados o invitaciones.
Mantente un paso adelante: sigue nuestro perfil y mantente informado sobre todo lo importante en el mundo de las criptomonedas!
Aviso:
,,La información y las opiniones presentadas en este artículo son únicamente para fines educativos y no deben tomarse como asesoramiento de inversión en ninguna situación. El contenido de estas páginas no debe considerarse como asesoramiento financiero, de inversión o de cualquier otra forma. Advertimos que invertir en criptomonedas puede ser arriesgado y puede llevar a pérdidas financieras.“
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Los hackers norcoreanos atacan el cripto con malware basado en Nim disfrazado de actualizaciones de Zoom
🔹 Invitaciones de reuniones falsas de Zoom y enlaces de actualización engañan a los equipos de Web3
🔹 Nuevo malware NimDoor infiltra macOS con técnicas avanzadas de evasión
🔹 Los atacantes roban datos del navegador, contraseñas y chats de Telegram
Las empresas de Web3 y criptomonedas bajo asedio por el malware NimDoor Los expertos en seguridad de SentinelLabs han descubierto una sofisticada campaña de malware que tiene como objetivo a las startups de Web3 y a las empresas de criptomonedas. Los ataques, vinculados a grupos norcoreanos, utilizan una combinación de ingeniería social y sigilo técnico para desplegar el malware NimDoor, escrito en el poco utilizado lenguaje de programación Nim para eludir la detección de antivirus.
La Configuración: Reuniones falsas de Zoom a través de Telegram Los hackers inician contacto a través de Telegram, haciéndose pasar por contactos conocidos. Invitan a las víctimas a programar reuniones a través de Calendly, luego les envían enlaces a lo que parecen ser actualizaciones de software de Zoom. Estos enlaces conducen a dominios falsos como support.us05web-zoom.cloud, imitando las URL legítimas de Zoom y alojando archivos de instalación maliciosos. Estos archivos contienen miles de líneas de espacio en blanco, lo que hace que parezcan "legítimamente grandes." Ocultas dentro hay solo tres líneas de código cruciales, que descargan y ejecutan la verdadera carga del ataque.
Malware NimDoor: Spyware que apunta específicamente a macOS Una vez ejecutado, el malware NimDoor opera en dos fases principales: 🔹 Extracción de datos – robo de contraseñas guardadas, historiales de navegación y credenciales de inicio de sesión de navegadores populares como Chrome, Firefox, Brave, Edge y Arc.
🔹 Persistencia del sistema: mantener el acceso a largo plazo a través de procesos en segundo plano sigilosos y archivos del sistema disfrazados. Un componente clave se dirige específicamente a Telegram, robando bases de datos de chats encriptados y claves de desencriptación, dando a los atacantes acceso a conversaciones privadas sin conexión.
Construido para Sobrevivir: Técnicas de Evasión y Reinstalación NimDoor emplea una serie de mecanismos de persistencia avanzados: 🔹 Se reinstala automáticamente si los usuarios intentan terminarlo o eliminarlo
🔹 Crea archivos y carpetas ocultos que parecen componentes legítimos del sistema macOS
🔹 Se conecta al servidor del atacante cada 30 segundos para recibir instrucciones, disfrazado como tráfico de internet normal
🔹 Retrasa la ejecución durante 10 minutos para evitar la detección temprana por parte del software de seguridad
Difícil de quitar sin herramientas profesionales Debido a estas técnicas, NimDoor es extremadamente difícil de eliminar con herramientas estándar. A menudo se requiere software de seguridad especializado o intervención profesional para limpiar completamente los sistemas infectados.
Conclusión: Los ciberataques modernos ahora parecen invitaciones de calendario Ataques como NimDoor demuestran lo astutamente que los grupos norcoreanos imitan flujos de trabajo diarios para penetrar incluso en objetivos cautelosos. Enlaces falsos de Zoom y actualizaciones de apariencia inocente pueden llevar a una completa compromisión del sistema. Los usuarios nunca deben descargar actualizaciones de fuentes no oficiales, siempre verificar los nombres de dominio y mantenerse alerta ante mensajes de software inesperados o invitaciones.
#CyberSecurity , #HackersDeCoreaDelNorte , #Web3Security , #NoticiasCripto , #Hack
Mantente un paso adelante: sigue nuestro perfil y mantente informado sobre todo lo importante en el mundo de las criptomonedas! Aviso: ,,La información y las opiniones presentadas en este artículo son únicamente para fines educativos y no deben tomarse como asesoramiento de inversión en ninguna situación. El contenido de estas páginas no debe considerarse como asesoramiento financiero, de inversión o de cualquier otra forma. Advertimos que invertir en criptomonedas puede ser arriesgado y puede llevar a pérdidas financieras.“