NimDoor: O malware de Mac que “ressuscita” sozinho e ataca carteiras crypto

Imagine descobrir um vírus no seu Mac, removê-lo completamente e, minutos depois, encontrá-lo funcionando novamente como se nada tivesse acontecido. Essa é a realidade assustadora do NimDoor, uma família de malware revolucionária que está aterrorizando o setor de criptomoedas em 2025.

Desenvolvido por grupos de hackers patrocinados pela Coreia do Norte, o NimDoor representa uma evolução significativa nas ameaças para macOS. Diferente dos malwares tradicionais, ele possui uma capacidade única: se reinstalar automaticamente quando detecta tentativas de remoção.

Como funciona o ataque “fantasma”

A isca perfeita: uma reunião de trabalho

O ataque começa de forma aparentemente inocente. Funcionários de empresas Web3 e startups de criptomoedas recebem mensagens no Telegram de supostos parceiros comerciais ou investidores. A conversa evolui naturalmente para o agendamento de uma videoconferência via Zoom através do Calendly.

“É uma abordagem psicológica bem elaborada”, explica um especialista em segurança digital. “Eles exploram a confiança natural que temos em plataformas conhecidas como Zoom.”

O script malicioso disfarçado

Após agendar a reunião, as vítimas recebem um email com um link para a videoconferência e uma solicitação aparentemente legítima: executar um “script de atualização SDK” para garantir compatibilidade com o Zoom.

O arquivo malicioso, geralmente nomeado zoom_sdk_support.scpt, contém mais de 10.000 linhas vazias e erros propositais como “Zook” em vez de “Zoom”. Essas características servem para:

• Confundir ferramentas de análise automática
• Parecer menos suspeito devido ao tamanho
• Camuflar o código malicioso real

A arquitetura sofisticada do NimDoor

Três componentes, uma ameaça letal

Uma vez executado, o script inicial desencadeia a instalação de três componentes principais:

1. GoogIe LLC (com “i” maiúsculo para imitar arquivos legítimos do Google)
2. CoreKitAgent (o núcleo do sistema)
3. trojan1_arm64 (para comunicação externa)

O segredo da “ressurreição” automática

O aspecto mais inovador do NimDoor reside em sua persistência baseada em sinais. O CoreKitAgent instala manipuladores personalizados para os sinais SIGINT e SIGTERM do sistema operacional.

Na prática, isso significa que:

• Quando alguém tenta finalizar o processo malicioso
• Ou quando um antivírus detecta e remove o malware
• O próprio sinal de encerramento dispara uma rotina de reinstalação

É como se o vírus deixasse um “testamento” que automaticamente o trouxesse de volta à vida.

Alvos preferenciais: o ouro digital

Por que empresas crypto são o alvo principal

O NimDoor foi especificamente projetado para atacar:

• Startups Web3 e DeFi
• Exchanges de criptomoedas
• Fundos de investimento em crypto
• Desenvolvedores de blockchain

O malware possui módulos especializados para:

• Roubar chaves privadas de carteiras
• Interceptar dados do Telegram (muito usado no setor crypto)
• Capturar informações de navegadores
• Acessar o Keychain do macOS

Comunicação criptografada e difícil rastreamento

Toda comunicação entre o malware e os servidores dos hackers é protegida por:

• Criptografia RC4
• Codificação Base64 em múltiplas camadas
• Identificação única por Build ID
• Comandos em formato JSON

A evolução das ameaças para Mac

Linguagens de programação incomuns

Os desenvolvedores do NimDoor fizeram escolhas técnicas inteligentes:

• Nim: Linguagem menos conhecida, dificultando a análise
• C++: Para componentes críticos de performance
• Arquitetura modular: Facilita atualizações e personalização

Técnicas avançadas de evasão

O malware utiliza:

• Máquina de estados com 10 estados diferentes
• Mecanismo kqueue do macOS para execução assíncrona
• Imitação de infraestrutura legítima (servidores que parecem do Zoom)

Como se proteger do NimDoor

Sinais de alerta

Fique atento a:

• Convites inesperados para reuniões com desconhecidos
• Solicitações de execução de scripts antes de videoconferências
• Emails com links suspeitos mesmo que pareçam do Zoom
• Arquivos com nomes similares a aplicações legítimas

Medidas de proteção

1. Nunca execute scripts enviados por email ou mensagens
2. Verifique sempre a autenticidade de solicitações de atualização
3. Use soluções de segurança especializadas em ameaças para Mac
4. Mantenha o sistema operacional sempre atualizado
5. Implemente políticas rigorosas de execução de software

O futuro das ameaças para macOS

O NimDoor marca uma nova era nas ameaças para Mac. Sua capacidade de auto-reinstalação e a sofisticação técnica demonstram que os hackers norte-coreanos estão investindo pesadamente em ataques específicos para o ecossistema Apple.