NimDoor: O malware de Mac que “ressuscita” sozinho e ataca carteiras crypto

NimDoor: O malware de Mac que “ressuscita” sozinho e ataca carteiras crypto

Imagine descobrir um vírus no seu Mac, removê-lo completamente e, minutos depois, encontrá-lo funcionando novamente como se nada tivesse acontecido. Essa é a realidade assustadora do NimDoor, uma família de malware revolucionária que está aterrorizando o setor de criptomoedas em 2025.

Desenvolvido por grupos de hackers patrocinados pela Coreia do Norte, o NimDoor representa uma evolução significativa nas ameaças para macOS. Diferente dos malwares tradicionais, ele possui uma capacidade única: se reinstalar automaticamente quando detecta tentativas de remoção.

Como funciona o ataque “fantasma”

mac malware proxy setting

A isca perfeita: uma reunião de trabalho

O ataque começa de forma aparentemente inocente. Funcionários de empresas Web3 e startups de criptomoedas recebem mensagens no Telegram de supostos parceiros comerciais ou investidores. A conversa evolui naturalmente para o agendamento de uma videoconferência via Zoom através do Calendly.

“É uma abordagem psicológica bem elaborada”, explica um especialista em segurança digital. “Eles exploram a confiança natural que temos em plataformas conhecidas como Zoom.”

O script malicioso disfarçado

Após agendar a reunião, as vítimas recebem um email com um link para a videoconferência e uma solicitação aparentemente legítima: executar um “script de atualização SDK” para garantir compatibilidade com o Zoom.

O arquivo malicioso, geralmente nomeado zoom_sdk_support.scpt, contém mais de 10.000 linhas vazias e erros propositais como “Zook” em vez de “Zoom”. Essas características servem para:

  • Confundir ferramentas de análise automática
  • Parecer menos suspeito devido ao tamanho
  • Camuflar o código malicioso real

A arquitetura sofisticada do NimDoor

Três componentes, uma ameaça letal

Uma vez executado, o script inicial desencadeia a instalação de três componentes principais:

  1. GoogIe LLC (com “i” maiúsculo para imitar arquivos legítimos do Google)
  2. CoreKitAgent (o núcleo do sistema)
  3. trojan1_arm64 (para comunicação externa)

O segredo da “ressurreição” automática

O aspecto mais inovador do NimDoor reside em sua persistência baseada em sinais. O CoreKitAgent instala manipuladores personalizados para os sinais SIGINT e SIGTERM do sistema operacional.

Na prática, isso significa que:

  • Quando alguém tenta finalizar o processo malicioso
  • Ou quando um antivírus detecta e remove o malware
  • O próprio sinal de encerramento dispara uma rotina de reinstalação

É como se o vírus deixasse um “testamento” que automaticamente o trouxesse de volta à vida.

Alvos preferenciais: o ouro digital

Por que empresas crypto são o alvo principal

O NimDoor foi especificamente projetado para atacar:

  • Startups Web3 e DeFi
  • Exchanges de criptomoedas
  • Fundos de investimento em crypto
  • Desenvolvedores de blockchain

O malware possui módulos especializados para:

  • Roubar chaves privadas de carteiras
  • Interceptar dados do Telegram (muito usado no setor crypto)
  • Capturar informações de navegadores
  • Acessar o Keychain do macOS

Comunicação criptografada e difícil rastreamento

Toda comunicação entre o malware e os servidores dos hackers é protegida por:

  • Criptografia RC4
  • Codificação Base64 em múltiplas camadas
  • Identificação única por Build ID
  • Comandos em formato JSON

A evolução das ameaças para Mac

Linguagens de programação incomuns

Os desenvolvedores do NimDoor fizeram escolhas técnicas inteligentes:

  • Nim: Linguagem menos conhecida, dificultando a análise
  • C++: Para componentes críticos de performance
  • Arquitetura modular: Facilita atualizações e personalização

Técnicas avançadas de evasão

O malware utiliza:

  • Máquina de estados com 10 estados diferentes
  • Mecanismo kqueue do macOS para execução assíncrona
  • Imitação de infraestrutura legítima (servidores que parecem do Zoom)

Como se proteger do NimDoor

Sinais de alerta

Fique atento a:

  • Convites inesperados para reuniões com desconhecidos
  • Solicitações de execução de scripts antes de videoconferências
  • Emails com links suspeitos mesmo que pareçam do Zoom
  • Arquivos com nomes similares a aplicações legítimas

Medidas de proteção

  1. Nunca execute scripts enviados por email ou mensagens
  2. Verifique sempre a autenticidade de solicitações de atualização
  3. Use soluções de segurança especializadas em ameaças para Mac
  4. Mantenha o sistema operacional sempre atualizado
  5. Implemente políticas rigorosas de execução de software

O futuro das ameaças para macOS

O NimDoor marca uma nova era nas ameaças para Mac. Sua capacidade de auto-reinstalação e a sofisticação técnica demonstram que os hackers norte-coreanos estão investindo pesadamente em ataques específicos para o ecossistema Apple.

Leave A Comment

You must be logged in to post a comment.

Back to Top