Un grupo de hackers respaldado por el gobierno de Corea del Norte está usando un nuevo tipo de malware para macOS llamado NimDoor. Su objetivo principal: atacar a empresas y proyectos relacionados con Web3 y criptomonedas.
Según los investigadores que analizaron este malware, los atacantes están utilizando técnicas bastante raras y hasta ahora nunca vistas, incluyendo un sistema para mantenerse activo en el equipo incluso después de haber sido eliminado.
El ataque arranca de forma muy sutil: los hackers contactan a las víctimas por Telegram, haciéndose pasar por alguien confiable. Luego, los convencen para que instalen una supuesta "actualización" del SDK de Zoom. Esa actualización falsa se envía a través de Calendly o incluso por correo electrónico, lo que hace que parezca legítima. Todo este método recuerda bastante a una campaña previa atribuida al grupo norcoreano BlueNoroff, conocido por usar tácticas similares.
En un informe reciente, se revelaron detalles sobre este malware bastante sofisticado para macOS. Lo interesante es que los atacantes detrás de esta amenaza usaron archivos binarios escritos en C++ y Nim, un lenguaje de programación poco común en este tipo de ataques, lo que ya de por sí lo hace bastante inusual.
Uno de esos archivos, llamado "installer", se encarga de dar el primer paso en la infección: prepara el entorno, crea las carpetas necesarias y deja listos los caminos donde se instalarán otros componentes maliciosos. Como parte de ese proceso, deja caer dos archivos más en el sistema: “GoogIe LLC” (sí, con una "i" mayúscula para parecerse a "Google") y “CoreKitAgent”.
El primero, GoogIe LLC, tiene la tarea de recopilar información del entorno del sistema infectado y generar un archivo de configuración que está codificado en hexadecimal (o sea, no es fácil de leer a simple vista). Ese archivo se guarda en una carpeta temporal y se usa para mantener activo el malware cada vez que el equipo se inicia. Esto lo hace instalando un LaunchAgent de macOS que se ejecuta automáticamente con cada inicio de sesión, lo que además le permite guardar claves de autenticación para futuras acciones.
Pero el componente más avanzado y peligroso es CoreKitAgent, que es básicamente el “cerebro” del malware. Está diseñado para reaccionar a eventos del sistema en tiempo real, utilizando un sistema nativo de macOS llamado kqueue, que le permite ejecutar tareas de forma asíncrona, sin interrumpir el funcionamiento normal del equipo.
Este módulo implementa una especie de máquina de estados, con 10 "escenarios" posibles que se activan según lo que el sistema esté haciendo. Esta estructura le da mucha flexibilidad y control para decidir cómo actuar en diferentes situaciones.
¿Y lo más inquietante? NimDoor tiene un sistema de persistencia bastante original. Instala controladores personalizados que reaccionan a señales como SIGINT (interrupción) o SIGTERM (terminación). En otras palabras, si intentas cerrar o matar el proceso, el malware puede detectarlo y actuar para mantenerse con vida en el sistema.
Registro de controladores de señales personalizados para SIGINT y SIGTERM
Estas señales normalmente se usan para cerrar procesos en el sistema, pero en el caso de NimDoor, ocurre algo muy distinto. Cuando CoreKitAgent detecta alguna de estas señales, en lugar de apagarse, activa un mecanismo de autodefensa que vuelve a instalar todo: restaura GoogIe LLC (el componente que mantiene el acceso al sistema) y reactiva la cadena de persistencia para asegurarse de que el malware siga vivo.
Según explican desde SentinelLABS, cuando esto ocurre, CoreKitAgent captura la señal, vuelve a escribir el archivo LaunchAgent (que permite que el malware se ejecute al iniciar sesión), deja una copia nueva de GoogIe LLC como cargador, y otra de sí mismo como troyano. Luego les da permisos de ejecución usando una función específica (addExecutionPermissions_user95startup95mainZutils_u32), lo que básicamente les permite volver a correr sin problemas.
Este comportamiento hace que matar el proceso del malware no sirva de mucho, ya que cada vez que lo intentas, él mismo se reinstala en segundo plano. En resumen: es muy difícil de eliminar con métodos básicos, y está diseñado justamente para resistir los intentos más comunes de defensa.
Volver a escribir los componentes del malware en el disco cuando finaliza el proceso
Podría interesarte leer: Nuevo Malware SparkKitty encontrado en Google Play y Apple Store
CoreKitAgent, ejecuta un script de AppleScript que ha sido codificado en hexadecimal (o sea, disfrazado para que no se note a simple vista). Este script se activa cada 30 segundos, se conecta con los servidores del atacante y comienza a robar información del sistema, además de permitir el control remoto del equipo usando el comando osascript. En otras palabras, actúa como una puerta trasera muy ligera pero efectiva.
Mientras tanto, otro archivo malicioso llamado zoom_sdk_support.scpt lanza una segunda fase del ataque. Este archivo pone en marcha un componente llamado trojan1_arm64, que se conecta con los atacantes a través de una comunicación cifrada usando WSS (WebSocket Secure). Una vez activa la conexión, descarga dos scripts adicionales llamados upl y tlgrm, cuyo único propósito es robar más datos del sistema.
Algo curioso (y preocupante): el archivo zoom_sdk_support.scpt viene con más de 10.000 líneas en blanco. Esto no es un error, sino una técnica usada para ocultar el código malicioso y hacerlo pasar desapercibido en análisis automáticos.
Ahora, te explicamos qué hacen esos dos scripts:
upl se dedica a extraer datos sensibles del navegador (como cookies y contraseñas guardadas), además del contenido del Keychain de macOS (donde se guardan muchas credenciales del sistema), así como los historiales de comandos en terminal (.bash_history y .zsh_history). Toda esta información se envía a un servidor remoto usando curl, específicamente al dominio dataupload[.]tienda.
tlgrm, por su parte, se enfoca en robar la base de datos local de Telegram, incluyendo un archivo llamado .tempkeyEncrypted, que probablemente contiene claves cifradas. Los atacantes podrían usar estos datos para leer los mensajes privados que la víctima ha intercambiado en Telegram.
Script tlgrm dirigido a los datos de Telegram
En general, NimDoor y las otras puertas traseras que se han analizado forman parte de algunas de las amenazas más complejas dirigidas a macOS que se han relacionado con grupos de hackers de Corea del Norte.
Lo que hace que este malware sea especialmente peligroso es su estructura modular, que le da mucha flexibilidad para adaptarse a diferentes situaciones, además de que utiliza técnicas bastante novedosas, como mecanismos de persistencia basados en señales del sistema. Todo esto sugiere que estos atacantes están evolucionando rápidamente sus herramientas, haciéndolas cada vez más sofisticadas y capaces de operar en varios sistemas operativos.
También se han identificado dominios maliciosos, rutas de archivos, scripts y binarios específicos utilizados en estas campañas, que están claramente diseñadas para robar criptomonedas e información sensible de las víctimas. Estos detalles técnicos son clave para que los expertos en seguridad puedan detectar y frenar nuevas infecciones antes de que hagan daño.