NimDoor: O malware de Mac que “ressuscita” sozinho e ataca carteiras crypto
NimDoor: O malware de Mac que “ressuscita” sozinho e ataca carteiras crypto
Imagine descobrir um vírus no seu Mac, removê-lo completamente e, minutos depois, encontrá-lo funcionando novamente como se nada tivesse acontecido. Essa é a realidade assustadora do NimDoor, uma família de malware revolucionária que está aterrorizando o setor de criptomoedas em 2025.
Desenvolvido por grupos de hackers patrocinados pela Coreia do Norte, o NimDoor representa uma evolução significativa nas ameaças para macOS. Diferente dos malwares tradicionais, ele possui uma capacidade única: se reinstalar automaticamente quando detecta tentativas de remoção.
Como funciona o ataque “fantasma”
A isca perfeita: uma reunião de trabalho
O ataque começa de forma aparentemente inocente. Funcionários de empresas Web3 e startups de criptomoedas recebem mensagens no Telegram de supostos parceiros comerciais ou investidores. A conversa evolui naturalmente para o agendamento de uma videoconferência via Zoom através do Calendly.
“É uma abordagem psicológica bem elaborada”, explica um especialista em segurança digital. “Eles exploram a confiança natural que temos em plataformas conhecidas como Zoom.”
O script malicioso disfarçado
Após agendar a reunião, as vítimas recebem um email com um link para a videoconferência e uma solicitação aparentemente legítima: executar um “script de atualização SDK” para garantir compatibilidade com o Zoom.
O arquivo malicioso, geralmente nomeado zoom_sdk_support.scpt
, contém mais de 10.000 linhas vazias e erros propositais como “Zook” em vez de “Zoom”. Essas características servem para:
- Confundir ferramentas de análise automática
- Parecer menos suspeito devido ao tamanho
- Camuflar o código malicioso real
A arquitetura sofisticada do NimDoor
Três componentes, uma ameaça letal
Uma vez executado, o script inicial desencadeia a instalação de três componentes principais:
- GoogIe LLC (com “i” maiúsculo para imitar arquivos legítimos do Google)
- CoreKitAgent (o núcleo do sistema)
- trojan1_arm64 (para comunicação externa)
O segredo da “ressurreição” automática
O aspecto mais inovador do NimDoor reside em sua persistência baseada em sinais. O CoreKitAgent instala manipuladores personalizados para os sinais SIGINT e SIGTERM do sistema operacional.
Na prática, isso significa que:
- Quando alguém tenta finalizar o processo malicioso
- Ou quando um antivírus detecta e remove o malware
- O próprio sinal de encerramento dispara uma rotina de reinstalação
É como se o vírus deixasse um “testamento” que automaticamente o trouxesse de volta à vida.
Alvos preferenciais: o ouro digital
Por que empresas crypto são o alvo principal
O NimDoor foi especificamente projetado para atacar:
- Startups Web3 e DeFi
- Exchanges de criptomoedas
- Fundos de investimento em crypto
- Desenvolvedores de blockchain
O malware possui módulos especializados para:
- Roubar chaves privadas de carteiras
- Interceptar dados do Telegram (muito usado no setor crypto)
- Capturar informações de navegadores
- Acessar o Keychain do macOS
Comunicação criptografada e difícil rastreamento
Toda comunicação entre o malware e os servidores dos hackers é protegida por:
- Criptografia RC4
- Codificação Base64 em múltiplas camadas
- Identificação única por Build ID
- Comandos em formato JSON
A evolução das ameaças para Mac
Linguagens de programação incomuns
Os desenvolvedores do NimDoor fizeram escolhas técnicas inteligentes:
- Nim: Linguagem menos conhecida, dificultando a análise
- C++: Para componentes críticos de performance
- Arquitetura modular: Facilita atualizações e personalização
Técnicas avançadas de evasão
O malware utiliza:
- Máquina de estados com 10 estados diferentes
- Mecanismo kqueue do macOS para execução assíncrona
- Imitação de infraestrutura legítima (servidores que parecem do Zoom)
Como se proteger do NimDoor
Sinais de alerta
Fique atento a:
- Convites inesperados para reuniões com desconhecidos
- Solicitações de execução de scripts antes de videoconferências
- Emails com links suspeitos mesmo que pareçam do Zoom
- Arquivos com nomes similares a aplicações legítimas
Medidas de proteção
- Nunca execute scripts enviados por email ou mensagens
- Verifique sempre a autenticidade de solicitações de atualização
- Use soluções de segurança especializadas em ameaças para Mac
- Mantenha o sistema operacional sempre atualizado
- Implemente políticas rigorosas de execução de software
O futuro das ameaças para macOS
O NimDoor marca uma nova era nas ameaças para Mac. Sua capacidade de auto-reinstalação e a sofisticação técnica demonstram que os hackers norte-coreanos estão investindo pesadamente em ataques específicos para o ecossistema Apple.
Leave A Comment
You must be logged in to post a comment.