Negli ultimi tempi, sono emersi nuovi attacchi informatici mirati al settore Web3 e alle aziende che operano nel campo delle criptovalute, guidati da gruppi legati alla Corea del Nord. Questi cybercriminali stanno adottando tecniche sempre più sofisticate, tra cui l'uso di malware scritti nel linguaggio di programmazione Nim, per colpire in particolare gli utenti di sistemi macOS. La campagna, individuata come NimDoor, si distingue per l'utilizzo di tecniche di injection dei processi e comunicazione remota tramite il protocollo wss, la versione cifrata di WebSocket, elemento raro nel panorama dei malware per Mac.

Vettori d’attacco e tecniche di persuasione

Il vettore d’attacco principale sfrutta la social engineering attraverso piattaforme di messaggistica come Telegram, con inviti a falsi meeting Zoom inviati tramite email. Le vittime vengono indotte a eseguire uno script AppleScript che, sotto le sembianze di un aggiornamento Zoom, scarica e installa file dannosi. Questi file, dopo aver decriptato ulteriori componenti, stabiliscono la persistenza sul sistema compromesso e avviano script bash che rubano informazioni sensibili, credenziali di browser come Chrome, Firefox ed Edge, e dati dall’app Telegram.

Meccanismi di sopravvivenza e comunicazione

Il malware implementa anche meccanismi di sopravvivenza avanzati: monitora i tentativi dell’utente di terminare il processo malevolo e, se ciò accade, si reinstalla automaticamente, rendendo difficile la rimozione tramite le difese standard. La comunicazione con i server di comando e controllo è continua e permette ai cybercriminali di eseguire comandi arbitrari e raccogliere dati sui sistemi infetti.

Campagna BabyShark e attacchi mirati

Parallelamente, il gruppo Kimsuky ha continuato a sfruttare la tecnica di social engineering denominata ClickFix nella campagna BabyShark, indirizzata soprattutto a esperti di sicurezza nazionale sudcoreani. Le modalità di attacco includono email di spear phishing che simulano richieste di interviste o comunicazioni ufficiali, allegando archivi RAR o documenti PDF con istruzioni ingannevoli che portano all’esecuzione di script PowerShell e all’installazione di malware e strumenti di accesso remoto come Chrome Remote Desktop e AnyDesk.

Utilizzo di infrastrutture cloud e repository privati

Una caratteristica emergente delle campagne di Kimsuky è l’impiego di infrastrutture cloud e repository privati su GitHub per scaricare trojan open-source come Xeno RAT e gestire la raccolta e l’esfiltrazione dei dati rubati. L’adattamento rapido a nuove tecniche, l’integrazione di script e binari multi-stage e la capacità di aggirare i controlli di sicurezza tradizionali rendono queste minacce particolarmente insidiose per aziende e professionisti del Web3.