Nos últimos meses, hackers patrocinados pelo Estado norte-coreano intensificaram seus ataques a empresas de criptomoedas, mudando suas táticas para atingir usuários de macOS por meio de uma campanha de malware excepcionalmente sofisticada.
De acordo com um relatório detalhado do SentinelLabs, os invasores estão implantando uma nova cepa de malware chamada “NimDoor”, projetada especificamente para contornar as defesas do Mac e exfiltrar dados confidenciais relacionados a criptomoedas. O que diferencia essa campanha não é apenas o alvo ou o método, mas o uso de uma linguagem de programação raramente vista chamada Nim — escolhida por suas capacidades de furtividade e compatibilidade entre plataformas.
O ataque geralmente começa com uma manobra de engenharia social. As vítimas são contatadas por meio de plataformas de mensagens criptografadas, como o Telegram, por indivíduos que se passam por contatos comerciais ou colaboradores confiáveis. Uma vez estabelecida a conexão, o invasor sugere uma reunião pelo Google Meet, durante a qual solicita ao alvo que baixe uma atualização aparentemente legítima do Zoom. Esse arquivo baixado, no entanto, está longe de ser inofensivo. Executá-lo aciona a instalação silenciosa do NimDoor, que então se incorpora ao sistema.
A execução do malware é projetada para evitar a detecção imediata. Ele aguarda cerca de dez minutos antes de ser ativado, um atraso deliberado com o objetivo de contornar scanners que geralmente se concentram em novos processos iniciados logo após a abertura de um arquivo. Uma vez ativo, o NimDoor começa a coletar credenciais do navegador, chaves de carteira de criptomoedas e outros dados confidenciais. Ele também pode extrair dados do macOS Keychain, registrar pressionamentos de tecla, fazer capturas de tela e monitorar a atividade da área de transferência — tudo isso valioso para invasores que buscam drenar ativos criptográficos ou sequestrar contas de usuários.
Embora ataques cibernéticos direcionados a máquinas Windows não sejam novidade, o macOS há muito tempo desfruta de uma reputação de ser imune a ameaças graves de malware.
Pesquisadores desmascararam esse mito, afirmando que o macOS está cada vez mais na mira de ameaças persistentes avançadas, especialmente de grupos patrocinados por estados. Acredita-se que a campanha atual seja obra do BlueNoroff, um subgrupo do Lazarus Group, ligado aos serviços de inteligência da Coreia do Norte. A BlueNoroff tem um histórico de ataques a plataformas de criptomoedas, exchanges e protocolos DeFi, utilizando esquemas elaborados para inserir backdoors e roubar fundos digitais.
O que torna a Nim particularmente preocupante é que ela não é amplamente utilizada em assinaturas de detecção de ferramentas de segurança cibernética. A linguagem permite que desenvolvedores compilem binários limpos e estáticos, mais difíceis de serem reconhecidos por mecanismos antivírus.
Além disso, ela suporta implantação multiplataforma, permitindo que invasores reutilizem a maior parte de sua base de código em ambientes Windows, Linux e macOS. Embora hackers norte-coreanos já tivessem usado linguagens de programação como Go e Rust por motivos semelhantes, a Nim oferece uma combinação única de velocidade, furtividade e flexibilidade, tornando-a a escolha ideal para suas táticas em evolução.
Para agravar a ameaça, a NimDoor também inclui componentes projetados para atingir o Telegram, uma das plataformas de mensagens mais usadas na indústria de criptomoedas. O malware contém scripts que buscam o banco de dados local criptografado do Telegram e as chaves de descriptografia associadas, potencialmente permitindo que invasores leiam mensagens privadas ou até mesmo sequestrem contas. A capacidade de acessar dados do Telegram oferece aos invasores outro canal para manipular a confiança e disseminar ainda mais seu malware.
O aumento de ameaças como o NimDoor ressalta a necessidade urgente de maior conscientização sobre segurança em todas as plataformas, não apenas no Windows. Usuários de Mac, especialmente aqueles envolvidos com criptomoedas ou fintechs, devem adotar práticas de segurança operacional mais rigorosas: nunca confiar em atualizações de software não solicitadas, analisar URLs e convites para reuniões e evitar inserir credenciais confidenciais em sites ou aplicativos, a menos que sejam absolutamente verificadas.
À medida que a linha entre engenharia social e malware avançado se esvai, a cautela individual e a preparação institucional devem evoluir em conjunto para se manter à frente de adversários cada vez mais determinados.
