Acabei de me atualizar com algumas notícias sérias de criptomoedas que valem a pena prestar atenção. A equipe Mandiant do Google Cloud acabou de divulgar um relatório sobre uma operação de hacking bastante sofisticada, vinculada à Coreia do Norte, que tem atacado ativamente empresas de criptomoedas e fintechs. Eles estão chamando esse grupo de ameaça de UNC1069, e honestamente, o nível de coordenação aqui é alarmante.

O que chamou minha atenção é como eles escalaram seu jogo desde que a Mandiant começou a rastreá-los em 2018. Estamos falando de sete famílias de malware diferentes implantadas em ataques coordenados para roubar dados sensíveis dos alvos. Os nomes por si só já indicam que são ferramentas feitas sob medida: SILENCELIFT, DEEPBREATH e CHROMEPUSH são as novas adições ao arsenal deles.

A parte de engenharia social é o que realmente se destaca para mim. Eles não estão mais usando apenas phishing padrão. Esses caras estão aproveitando contas comprometidas do Telegram e organizando reuniões falsas no Zoom com vídeos deepfake gerados por IA para enganar as vítimas e fazê-las executar comandos ocultos. É o que os pesquisadores de segurança chamam de ataques ClickFix, e eles são surpreendentemente eficazes.

Duas das novas linhagens de malware, CHROMEPUSH e DEEPBREATH, foram especificamente projetadas para contornar proteções críticas do sistema operacional e extrair dados pessoais. Então, se você atua no espaço de criptomoedas, seja gerenciando uma exchange, uma plataforma fintech ou ativos digitais, isso é algo que sua equipe de segurança precisa estar ciente.

Esse tipo de notícia de criptomoedas lembra que o cenário de ameaças continua evoluindo. O direcionamento de empresas de criptomoedas especificamente mostra que esses atores sabem onde está o valor e estão investindo recursos sérios para invadir. Vale a pena levar isso a sério se você trabalha em qualquer parte da indústria.