Hackers ligados à Coreia do Norte usam chamadas de vídeo deepfake para atacar trabalhadores de criptomoedas

Resumo

• Os atacantes usaram uma chamada de vídeo falsa e uma “correção de áudio” do Zoom para distribuir malware macOS.
• O método corresponde a uma técnica de intrusão previamente documentada, associada ao BlueNoroff, uma subgrupo do Lazarus ligado à Coreia do Norte.
• O incidente ocorre num momento em que golpes de impersonation impulsionados por IA levaram as perdas no setor cripto a um recorde de $17 bilhões em 2025.

Hackers ligados à Coreia do Norte continuam a usar chamadas de vídeo ao vivo, incluindo deepfakes gerados por IA, para enganar desenvolvedores e trabalhadores de cripto a instalarem software malicioso nos seus próprios dispositivos. Na última ocorrência divulgada pelo cofundador da BTC Prague, Martin Kuchař, os atacantes usaram uma conta comprometida no Telegram e uma chamada de vídeo encenada para distribuir malware disfarçado de uma correção de áudio do Zoom, afirmou. A “campanha de hacking de alto nível” parece estar “direcionada a utilizadores de Bitcoin e cripto”, revelou Kuchař na quinta-feira na X. 

Os atacantes contactam a vítima e marcam uma chamada no Zoom ou Teams, explicou Kuchař. Durante a chamada, usam um vídeo gerado por IA para parecerem alguém que a vítima conhece. Depois, afirmam que há um problema de áudio e pedem à vítima que instale um plugin ou ficheiro para o resolver. Uma vez instalado, o malware concede aos atacantes acesso total ao sistema, permitindo roubar Bitcoin, assumir contas do Telegram e usar essas contas para atingir outros. O incidente ocorre num momento em que golpes de impersonation impulsionados por IA levaram as perdas relacionadas com cripto a um recorde de $17 bilhões em 2025, com atacantes a usar cada vez mais deepfake de vídeo, clonagem de voz e identidades falsas para enganar vítimas e obter acesso a fundos, de acordo com dados da empresa de análise blockchain Chainalysis. Ataques semelhantes O ataque, conforme descrito por Kuchař, corresponde de perto a uma técnica documentada inicialmente pela empresa de cibersegurança Huntress, que relatou em julho do ano passado que esses atacantes atraem um trabalhador de cripto alvo para uma chamada de Zoom encenada após contacto inicial no Telegram, muitas vezes usando um link de reunião falso hospedado num domínio Zoom falsificado.

Durante a chamada, os atacantes alegam que há um problema de áudio e instruem a vítima a instalar o que parece ser uma correção relacionada ao Zoom, que na verdade é um AppleScript malicioso que inicia uma infecção multi-estágio no macOS, segundo a Huntress. Uma vez executado, o script desativa o histórico do shell, verifica ou instala o Rosetta 2 (uma camada de tradução) em dispositivos Apple Silicon, e solicita repetidamente a senha do sistema ao utilizador para obter privilégios elevados. O estudo descobriu que a cadeia de malware instala múltiplos payloads, incluindo backdoors persistentes, ferramentas de keylogging e de captura da área de transferência, e ladrões de carteiras cripto, uma sequência semelhante à que Kuchař apontou ao divulgar na segunda-feira que a sua conta do Telegram foi comprometida e posteriormente usada para atingir outros da mesma forma. Padrões sociais Pesquisadores de segurança da Huntress atribuíram com alta confiança a intrusão a uma ameaça persistente avançada ligada à Coreia do Norte, rastreada como TA444, também conhecida como BlueNoroff e por vários outros aliases, operando sob o termo geral Lazarus Group, um grupo patrocinado pelo Estado focado no roubo de criptomoedas desde pelo menos 2017. Quando questionado sobre os objetivos operacionais dessas campanhas e se há uma correlação, Shān Zhang, diretor de segurança da informação na empresa de segurança blockchain Slowmist, disse ao Decrypt que o último ataque a Kuchař “possivelmente” está ligado a campanhas mais amplas do Lazarus Group. “Há uma reutilização clara entre campanhas. Constantemente vemos o direcionamento a carteiras específicas e o uso de scripts de instalação muito semelhantes,” afirmou David Liberman, co-criador da rede descentralizada de computação AI Gonka, ao Decrypt. Imagens e vídeos “não podem mais ser considerados provas confiáveis de autenticidade,” disse Liberman, acrescentando que o conteúdo digital “deve ser assinado criptograficamente pelo seu criador, e tais assinaturas devem requerer autorização de múltiplos fatores.” Narrativas, em contextos como este, tornaram-se “um sinal importante para acompanhar e detectar,” dado que esses ataques “dependem de padrões sociais familiares,” afirmou ele.

O Lazarus Group da Coreia do Norte está ligado a campanhas contra empresas, trabalhadores e desenvolvedores de cripto, usando malware personalizado e engenharia social sofisticada para roubar ativos digitais e credenciais de acesso.