Image by Compare Fiber, from Unsplash
Falsi Aggiornamenti Zoom Utilizzati Nella Campagna di Hacking Cripto
Tempo di lettura: 2 Min.
Ultimo aggiornamento: Jul 5, 2025
-
![Kiara Fabbri]()
-
![Sarah Frazier]()
Tradotto da Sarah Frazier Redattore di sicurezza informatica
Un gruppo di hacker nordcoreani è responsabile di un nuovo metodo di cyberattacchi a società di Web3 e di crittografia, utilizzando un raro tipo di malware per macOS.
Di fretta? Ecco i fatti essenziali:
- Hacker nordcoreani prendono di mira le aziende di criptovalute con malware macOS avanzati.
- Il malware utilizza il linguaggio Nim e falsi aggiornamenti di Zoom.
- Le vittime vengono contattate tramite Telegram con tecniche di ingegneria sociale.
I ricercatori di Sentinel Labs hanno identificato questa famiglia di malware come NimDoor in quanto utilizza il linguaggio di programmazione oscuro Nim.
L’attacco inizia con un trucco di ingegneria sociale. Gli aggressori raggiungono i loro obiettivi tramite Telegram fingendosi colleghi. Chiedono poi alle vittime di eseguire uno “script di aggiornamento Zoom SDK” dopo aver loro inviato un falso link per un meeting su Zoom. Lo script maligno, che contiene 10.000 righe vuote e un singolo errore di battitura (“Zook” invece di “Zoom”), scarica quindi 2 file eseguibili.
Una volta attivato, il malware scarica e installa diversi programmi dannosi, tra cui uno che può rubare le credenziali di accesso, i dati del browser, e la cronologia delle chat su Telegram. Un altro script copia segretamente i file di sistema degli utenti, i dati del Portachiavi, e persino la cronologia del terminale, inviandoli tutti a un server remoto.
A differenza della maggior parte dei malware per macOS, NimDoor utilizza metodi avanzati come l’iniezione di processi insieme alla comunicazione WebSocket Secure (wss) crittografata. Il malware diventa sempre più difficile da rilevare a causa delle sue funzionalità avanzate, che consentono una comunicazione sicura con i server di comando.
Una caratteristica distintiva è il suo meccanismo di persistenza: anche se un utente o un sistema tenta di fermare il malware, esso si reinstalla utilizzando gli stessi strumenti di gestione dei segnali di macOS (SIGINT/SIGTERM).
“Gli attori delle minacce continuano a esplorare linguaggi cross-platform che introducono nuovi livelli di complessità per gli analisti”, hanno scritto i ricercatori di Sentinel Labs Phil Stokes e Raffaele Sabato. Avvertono che l’uso da parte degli aggressori di Nim e AppleScript, insieme a finti richiami di aggiornamento, mostra un nuovo livello di sofisticatezza.
Gli esperti di sicurezza raccomandano che le piattaforme Web3 e cripto devono potenziare le loro misure di sicurezza mentre insegnano al personale le tecniche di ingegneria sociale, dato che questa campagna di malware dimostra come gli aggressori possono utilizzare l’exploitazione della fiducia per penetrare nei sistemi sicuri.
Storia precedente
Ultimi articoli 
