Empresas que trabalham com criptomoedas (dinheiro digital, como Bitcoin) e Web3 – uma versão mais descentralizada da internet, baseada em blockchain, que dá às pessoas maior controle sobre seus dados e transações – estão sendo alvos de hackers da Coreia do Norte.

Os norte-coreanos criaram um malware chamado NimDoor, feito na linguagem de programação Nim, que usa técnicas avançadas para enganar usuários e roubar informações, como senhas de navegadores (como Google Chrome e Firefox) e dados do Telegram.

Segundo a empresa de segurança cibernética SentinelOne, o malware ataca sistemas macOS (dos computadores da Apple) com métodos sofisticados. Ele também tem um sistema que garante sua permanência no computador, mesmo que o usuário tente apagá-lo ou reiniciar o dispositivo.

Os hackers usam uma estratégia chamada engenharia social, que é como um golpe digital para enganar as vítimas. Eles enviam mensagens pelo Telegram, fingindo oferecer uma reunião no Zoom, agendada por um aplicativo real chamado Calendly.

A vítima recebe um e-mail com um link, que parece ser para a reunião, e instruções para executar um programa que supostamente atualiza o Zoom.

Esse programa, na verdade, é um AppleScript (um código usado em computadores Apple) que baixa outro script de um servidor remoto. Enquanto isso, o link redireciona a vítima para o site oficial do Zoom, para não levantar suspeitas.

O script baixado descompacta arquivos com códigos maliciosos que mantêm o vírus ativo no computador e roubam informações.

O coração do ataque é um programa chamado InjectWithDyldArm64, que ativa dois códigos: Target e trojan1_arm64. Esses códigos trabalham juntos para:

• Coletar dados: eles roubam senhas salvas em navegadores e informações do Telegram;
• Falar com os hackers: o vírus se conecta a servidores dos hackers a cada 30 segundos, enviando dados do computador (como os programas que estão abertos) e recebendo novas instruções; e
• Ficar escondido: ele usa truques para não ser apagado, mesmo que o usuário tente fechar o programa ou reiniciar o computador.

Por que é perigoso?

Os hackers norte-coreanos estão ficando mais habilidosos, atacando até sistemas macOS, que antes eram menos visados. A linguagem Nim permite criar códigos difíceis de detectar, e o uso de AppleScript mostra o nível de sofisticação, segundo especialistas.

Além disso, a campanha BabyShark, ligada ao grupo Kimsuky, usa táticas semelhantes, como e-mails falsos que imitam pedidos de entrevistas ou documentos seguros. Desde janeiro de 2025, esses ataques têm enganado alvos na Coreia do Sul, instalando ferramentas como o Chrome Remote Desktop para acessar computadores remotamente.

O grupo Kimsuky também usa plataformas como GitHub e Dropbox para espalhar malwares, como o Xeno RAT, um vírus de código aberto. Eles enviam e-mails falsos, se passando por instituições acadêmicas ou diplomatas, para enganar vítimas e instalar códigos maliciosos por meio de links ou anexos.

Acompanhe o nosso trabalho também nas redes sociais;

Siga a nossa página do Colidernews no Facebook.

Acompanhe nossas matérias no Grupo de WhatsApp.

Saiba tudo do nosso site na pagina oficial do Twitter ‘X’.

Siga o Colidernews também no Instagram.

Faça parte do nosso grupo de notícias no Telegram.

Outra estratégia, chamada ClickFix, faz vítimas executarem comandos no Windows, muitas vezes por meio de páginas falsas de CAPTCHA ou mensagens que pedem para instalar programas legítimos, como o AnyDesk, permitindo que os hackers controlem o computador remotamente.

Resort de luxo inaugurado na Coreia do Norte começa a receber os primeiros hospedes