Image by Compare Fiber, from Unsplash
Atualizações Falsas do Zoom Usadas em Campanha de Hack de Criptomoedas
Tempo de leitura: 2 minuto
Última atualização: Jul 5, 2025
-
![Kiara Fabbri]()
-
![Sarah Frazier]()
Traduzido por Sarah Frazier Editor de cibersegurança
Um grupo de hackers norte-coreano está por trás de um novo método de ciberataques a empresas de Web3 e criptomoedas, utilizando um raro tipo de malware para macOS.
Está com pressa? Aqui estão os fatos rápidos:
- Hackers norte-coreanos miram empresas de criptomoedas com malware avançado para macOS.
- O malware usa a linguagem Nim e atualizações falsas do Zoom.
- Vítimas são contatadas via Telegram com engenharia social.
Pesquisadores do Sentinel Labs identificaram essa família de malware como NimDoor, pois ela utiliza a linguagem de programação obscura Nim.
O ataque começa com um truque de engenharia social. Os invasores alcançam seus alvos através do Telegram, se passando por colegas. Eles então pedem às vitimas para executar um “script de atualização do Zoom SDK” depois de enviar a elas um falso link de reunião Zoom. O script malicioso, que contém 10.000 linhas em branco e um único erro de digitação (“Zook” em vez de “Zoom”), então baixa 2 arquivos executáveis.
Uma vez acionado, o malware baixa e instala vários programas prejudiciais, incluindo um que pode roubar credenciais de login, dados do navegador e histórico de chat do Telegram. Outro script copia secretamente os arquivos do sistema dos usuários, dados do Keychain e até mesmo o histórico do terminal, enviando tudo de volta para um servidor remoto.
Ao contrário da maioria dos malwares do macOS, o NimDoor usa métodos avançados como injeção de processos juntamente com comunicação WebSocket Secure (wss) criptografada. O malware se torna cada vez mais difícil de detectar por causa de suas características avançadas, que permitem uma comunicação segura com servidores de comando.
Um recurso que se destaca é o seu mecanismo de persistência: mesmo se um usuário ou sistema tentar parar o malware, ele se reinstala usando as próprias ferramentas de tratamento de sinal do macOS (SIGINT/SIGTERM).
“Os atores de ameaças continuam a explorar linguagens multiplataforma que introduzem novos níveis de complexidade para os analistas”, escreveram os pesquisadores da Sentinel Labs, Phil Stokes e Raffaele Sabato. Eles alertam que o uso de Nim e AppleScript pelos invasores, juntamente com iscas de atualizações falsas, mostra um novo nível de sofisticação.
Especialistas em segurança recomendam que as plataformas Web3 e de criptomoedas precisam aumentar suas medidas de segurança enquanto ensinam ao pessoal sobre técnicas de engenharia social, dado que esta campanha de malware demonstra como os atacantes podem usar a exploração da confiança para penetrar em sistemas seguros.
História anterior
Artigos mais recentes 
