Ha surgido una sofisticada campaña de malware de macOS denominado Nimdoor, dirigido a las organizaciones de Web3 y criptomonedas a través de actualizaciones de SDK de Zoom armadas.
El malware, atribuido a los actores de amenaza vinculados a Corea del Norte probablemente asociados con Stardust Chollima, representa una evolución significativa en las capacidades ofensivas contra los sistemas MacOS, ya que ha estado activo desde al menos abril de 2025.
La orquestación de ataque comienza con tácticas elaboradas de ingeniería social donde los actores de amenaza se hacen pasar por contactos de confianza en Telegram, invitando a las víctimas a programar reuniones de zoom a través de Calendly.
Posteriormente, las víctimas reciben correos electrónicos maliciosos que contienen AppleScript disfrazado de “actualizaciones de SDK de Zoom” legítimas.
Los creadores del malware dejaron inadvertidamente marcadores de identificación, incluido un error tipográfico deliberado que cambia “Zoom” a “Zook” en los comentarios de los script, lo que ayuda en la detección y el análisis.
Analistas de polyswarm identificado La utilización única de Nimdoor del lenguaje de programación NIM, una opción rara para el malware de macOS que complica el análisis estático a través de mecanismos de ejecución de tiempo de compilación.
Esta selección de lenguaje estratégico intercalaba desarrollador y código de tiempo de ejecución, creando una oscuridad analítica que dificulta las metodologías de detección tradicionales.
Tras la ejecución, Nimdoor desencadena una infección en varias etapas que implementa dos binarios de Mach-O distintos: un binario C ++ responsable de descifrado de carga útil y operaciones de robo de datos, y un “instalador” compilado por NIM que establece componentes de persistencia.
El malware despliega componentes deliberadamente mal escritos, incluidos “Googie LLC” y “CoreKitagent” para evadir la sospecha mientras se mantiene la persistencia del sistema a través de mecanismos de lanzamiento.
Mecanismos avanzados de persistencia y comunicación
Nimdoor presenta un mecanismo de persistencia innovador que utiliza manejadores de señal Sigint/Sigterm, que marca la primera instancia documentada de tales técnicas en malware de macOS.
Este nuevo enfoque garantiza la reinstalación automática de malware tras los intentos de terminación o los reinicios del sistema, mejorando significativamente la longevidad operativa.
El malware establece comunicaciones de comando y control a través de protocolos WebSocket cifrados de TLS, con componentes de AppleScript con codificación hexadecimales balizas que transmiten cada 30 segundos a servidores codificados.
Estas comunicaciones exfiltran las listas de procesos de ejecución al tiempo que habilitan las capacidades de ejecución de script remotas, creando efectivamente una puerta trasera persistente en sistemas comprometidos.
-Ejemplo de estructura de Applecript (nota: tipo error tipográfico “Zook” para identificación)-Script de actualización de Zoom SDK-Implementa binarios de Mach-O para infección en varias etapas
Las capacidades de exfiltración de datos del malware se dirigen a los activos críticos, incluidas las credenciales del llavero, los datos del navegador en múltiples plataformas (Chrome, Firefox, Brave, Arc, Edge) y bases de datos de telegrama que contienen información de billeteras de criptomonedas y comunicaciones sensibles.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
