Falsas Actualizaciones de Zoom Utilizadas en Campaña de Hackeo Criptográfico

Image by Compare Fiber, from Unsplash

Falsas Actualizaciones de Zoom Utilizadas en Campaña de Hackeo Criptográfico

Tiempo de lectura: 3 min.

Actualizado por última vez: Jul 5, 2025

Un grupo de hackers norcoreanos está detrás de una nueva forma de ciberataques a empresas de Web3 y criptomonedas, utilizando un tipo raro de malware para macOS.

¿Con prisa? Aquí están los hechos rápidos:

  • Hackers norcoreanos apuntan a empresas de criptomonedas con malware avanzado para macOS.
  • El malware utiliza el lenguaje Nim y actualizaciones falsas de Zoom.
  • Las víctimas son contactadas a través de Telegram con ingeniería social.

Los investigadores de Sentinel Labs han identificado a esta familia de malware como NimDoor debido a que utiliza el lenguaje de programación oscuro Nim.

El ataque comienza con un truco de ingeniería social. Los atacantes llegan a sus objetivos a través de Telegram, haciéndose pasar por colegas. Luego piden a las víctimas que ejecuten un “script de actualización de Zoom SDK” después de enviarles un enlace falso a una reunión de Zoom. El script malicioso, que contiene 10,000 líneas en blanco y un único error tipográfico (“Zook” en lugar de “Zoom”), luego descarga 2 archivos ejecutables.

Una vez activado, el malware descarga e instala varios programas dañinos, incluyendo uno que puede robar credenciales de inicio de sesión, datos del navegador y el historial de chat de Telegram. Otro script copia en secreto los archivos del sistema de los usuarios, los datos de Keychain e incluso el historial del terminal, enviando todo de vuelta a un servidor remoto.

A diferencia de la mayoría de los malware en macOS, NimDoor utiliza métodos avanzados como la inyección de procesos junto con la comunicación segura cifrada WebSocket Secure (wss). El malware se vuelve cada vez más difícil de detectar debido a sus características avanzadas, que permiten una comunicación segura con los servidores de comando.

Una característica destacada es su mecanismo de persistencia: incluso si un usuario o sistema intenta detener el malware, este se reinstala utilizando las propias herramientas de manejo de señales de macOS (SIGINT/SIGTERM).

“Los actores de amenazas continúan explorando lenguajes multiplataforma que introducen nuevos niveles de complejidad para los analistas”, escribieron los investigadores de Sentinel Labs, Phil Stokes y Raffaele Sabato. Advierten que el uso de Nim y AppleScript por parte de los atacantes, junto con señuelos de falsas actualizaciones, muestra un nuevo nivel de sofisticación.

Los expertos en seguridad recomiendan que las plataformas Web3 y cripto necesitan mejorar sus medidas de seguridad mientras enseñan al personal sobre las técnicas de ingeniería social, dado que esta campaña de malware demuestra cómo los atacantes pueden utilizar la explotación de la confianza para penetrar en sistemas seguros.

¿Te ha gustado este artículo?
¡Puntúalo!
No me ha gustado nada No me gusta Ha estado bien ¡Muy bueno! ¡Me ha encantado!

¡Nos alegra que te guste nuestro trabajo!

Eres importante para nosotros, por eso, nos gustaría que nos dejaras una opinión en Trustpilot, ¿te animas? Se tarda muy poco y significa mucho para nosotros. ¡Gracias por todo!

Valóranos en Trustpilot
0 Votado por 0 usuarios
Título
Comentar
Gracias por tu opinión