D'acord amb una investigació publicada pels experts en seguretat informàtica, SentinelLabs, un nou programari maliciós ha sortit a la llum per part de hackers nord-coreans i ha fet parlar per ser més sofisticat que qualsevol intent de programari maliciós comú. L'amenaça combina C++, Nim i AppleScript per poder mantenir-se actiu en els sistemes que es comprometen. El pitjor és que està atemptant contra una indústria gran com les criptomonedes i funciona mitjançant l'ús de invitacions de videotrucades falses.

"NimDoor", el malware creat per nord-coreans que envaeix mitjançant l'ús de Zoom

La investigació indica que l'atac va dirigit a empreses relacionades amb criptomonedes, cas concret de Web3 i Crypto. Utilitzen "binaris compilats" de Nim i els atacs són múltiples. En macOS, atempten mitjançant una "tècnica d'injecció de processos i comunicacions remotes a través de WSS". Continuen l'atac i aconsegueixen mantenir-lo mitjançant AppleScripts, els ajuda a tenir accés inicial i es consoliden de tal manera de funcionar com una porta del darrere. Filtren credencials de Keychain, les dades del navegador i fins i tot poden robar les bases de dades d'usuaris de Telegram.

Com funciona realment? La víctima és contactada mitjançant Telegram, que es fa passar per un contacte afegit. Es programa una videotrucada i s'envia l'enllaç (vulnerat i fals) mitjançant un correu electrònic que simula ser una "actualització falsa del SDK de Zoom". El que aquests atacants nord-coreans estan realitzant per dins és ocultar la funció amb més de 10.000 línies d'espai en blanc.

Part de l'inici del programari maliciós amb Zoom com a àncora d'entrada

En el moment en què el programari maliciós aconsegueix infiltrar-se després que l'usuari obre el suposat SDK, comença l'execució juntament amb una connexió xifrada amb un servidor que pren el control. És tan potent que té un suport que en cas que el sistema infectat es reiniciï o finalitzi, el programari maliciós pugui reinstal·lar-se. Pots veure l'informe detallat del seu funcionament aquí.

Un programari maliciós poderós, una manera simple de protegir-te

Tal com hem vist diversos casos de programari maliciós a iPadizate, existeix una solució pacífica i efectiva per evitar-hi caure. Recorda que tot succeeix a través de l'intent conegut de phishing, un correu fals que evidencia ser real i que et convida a fer clic en enllaços desconeguts. Abans d'obrir un correu, assegura't que aquest tingui relació amb un remitent freqüent o que hi estiguis familiaritzat pel que fa a la recepció de correus. Si creus que es tracta d'un correu brossa, envia'l a la carpeta corresponent i després elimina'l.

Intent de phishing utilitzant Amazon com a escut

Si has obert un correu que penses que pot ser una estafa o intent de phishing, n'hi ha prou amb llegir el nom del remitent amb el nom del correu més el domini per detectar, de primera instància, si es tracta o no d'un frau. El més important és no fer clic en cap enllaç. Tingues-ho en compte per a la pròxima vegada que obris el teu correu electrònic.