Hackers ligados à Coreia do Norte continuam usando videochamadas ao vivo, incluindo deepfakes gerados por inteligência artificial (IA), para enganar desenvolvedores e trabalhadores do setor de criptomoedas e levá-los a instalar softwares maliciosos em seus próprios dispositivos.
No caso mais recente, divulgado por Martin Kuchař, cofundador da BTC Prague, os atacantes usaram uma conta do Telegram comprometida e uma videochamada simulada para distribuir um malware disfarçado de correção de áudio do Zoom, afirmou ele.
A “campanha de hacking de alto nível” parece estar “visando usuários de Bitcoin e criptomoedas”, revelou Kuchař na quinta-feira no X.
Os atacantes contatam a vítima e agendam uma chamada no Zoom ou Teams, explicou Kuchař. Durante a chamada, eles usam um vídeo gerado por IA para se passar por alguém que a vítima conhece.
Em seguida, alegam que há um problema de áudio e pedem à vítima que instale um plugin ou arquivo para corrigi-lo. Uma vez instalado, o malware concede aos atacantes acesso total ao sistema, permitindo que roubem Bitcoins, assumam o controle de contas do Telegram e usem essas contas para atacar outras pessoas.
Isso ocorre em um momento em que golpes de falsificação de identidade impulsionados por IA elevaram as perdas relacionadas a criptomoedas a um recorde de US$ 17 bilhões em 2025. Os atacantes usam cada vez mais vídeos deepfake, clonagem de voz e identidades falsas para enganar as vítimas e obter acesso aos fundos, de acordo com dados da empresa de análise de blockchain Chainalysis.
Ataques semelhantes
O ataque, conforme descrito por Kuchař, se assemelha muito a uma técnica documentada pela primeira vez pela empresa de cibersegurança Huntress, que relatou em julho do ano passado que esses atacantes atraem um trabalhador do setor de criptomoedas para uma chamada falsa no Zoom após um contato inicial no Telegram, geralmente usando um link falso de reunião hospedado em um domínio Zoom falsificado.
Durante a chamada, os atacantes alegam haver um problema de áudio e instruem a vítima a instalar o que parece ser uma correção relacionada ao Zoom, que na verdade é um AppleScript malicioso que inicia uma infecção em várias etapas no macOS, de acordo com a Huntress.
Uma vez executado, o script desativa o histórico do shell, verifica ou instala o Rosetta 2 (uma camada de tradução) em dispositivos Apple Silicon e solicita repetidamente a senha do sistema do usuário para obter privilégios elevados.
O estudo descobriu que a cadeia de malware instala várias cargas úteis, incluindo backdoors persistentes, ferramentas de registro de teclas e de área de transferência, além de ferramentas para roubar carteiras de criptomoedas — uma sequência semelhante à que Kuchař mencionou quando revelou, na segunda-feira, que sua conta do Telegram foi comprometida e posteriormente usada para atacar outras pessoas da mesma maneira.
Padrões sociais
Pesquisadores de segurança da Huntress atribuíram a intrusão, com alto grau de certeza, a uma ameaça persistente avançada ligada à Coreia do Norte, rastreada como TA444, também conhecida como BlueNoroff e por vários outros pseudônimos, operando sob o termo guarda-chuva Lazarus Group, um grupo patrocinado pelo Estado focado no roubo de criptomoedas desde pelo menos 2017.
Quando questionado sobre os objetivos operacionais dessas campanhas e se acreditam que haja alguma correlação, Shān Zhang, diretor de segurança da informação da empresa de segurança blockchain Slowmist, disse ao Decrypt que o ataque mais recente a Kuchař está “possivelmente” conectado a campanhas mais amplas do Lazarus Group.
“Nenhum indicador isolado é decisivo; é a combinação que importa”, disse Zhang. “As iscas com deepfake geralmente dependem de contas de reunião novas ou descartáveis e links do Zoom ou Teams semelhantes, e a chamada rapidamente se torna altamente roteirizada.” Os atacantes “criam urgência e pressionam o alvo” a instalar a chamada “correção do Zoom/Teams” logo no início da conversa, explicou ele.
“Há uma clara reutilização em todas as campanhas. Observamos consistentemente o direcionamento a carteiras específicas e o uso de scripts de instalação muito semelhantes”, disse David Liberman, cocriador da rede de computação de IA descentralizada Gonka, ao Decrypt.
Imagens e vídeos “não podem mais ser considerados prova confiável de autenticidade”, disse Liberman, acrescentando que o conteúdo digital “deve ser assinado criptograficamente por seu criador, e tais assinaturas devem exigir autenticação multifatorial”.
Narrativas, em contextos como este, tornaram-se “um sinal importante para rastrear e detectar”, visto que esses ataques “se baseiam em padrões sociais familiares”, afirmou ele.
O grupo norte-coreano Lazarus está ligado a campanhas contra empresas de criptomoedas, trabalhadores e desenvolvedores, usando malware personalizado e engenharia social sofisticada para roubar ativos digitais e credenciais de acesso.
* Traduzido e editado com autorização do Decrypt.
Investimento parado? É hora do Dólar Digital Turbinado! De 20 a 31/01, você pode ganhar recompensas de até 10% ao ano por 3 meses. Saiba mais!