Em resumo
- Os invasores usaram uma chamada de vídeo falsa e uma “correção de áudio” do Zoom para entregar malware para macOS.
- O método corresponde a um método de intrusão previamente documentado ligado ao BlueNoroff da Coreia do Norte, um subgrupo do Lazarus.
- O incidente ocorre no momento em que golpes de falsificação de identidade baseados em IA levaram as perdas de criptografia a um recorde de US$ 17 bilhões em 2025.
Hackers ligados à Coreia do Norte continuam a usar videochamadas ao vivo, incluindo deepfakes gerados por IA, para enganar desenvolvedores e trabalhadores de criptografia para que instalem software malicioso em seus próprios dispositivos.
No último caso divulgado pelo cofundador do BTC Praga, Martin Kuchař, os invasores usaram uma conta comprometida do Telegram e uma videochamada encenada para enviar malware disfarçado como uma correção de áudio do Zoom, disse ele.
A “campanha de hackers de alto nível” parece “visar usuários de Bitcoin e criptografia”, Kuchař divulgado Quinta-feira, X.
Os invasores entram em contato com a vítima e marcam uma chamada pelo Zoom ou Teams, explicou Kuchař. Durante a ligação, eles usam um vídeo gerado por IA para aparecer como alguém que a vítima conhece.
Eles então alegam que há um problema de áudio e pedem à vítima que instale um plugin ou arquivo para corrigi-lo. Uma vez instalado, o malware concede aos invasores acesso total ao sistema, permitindo-lhes roubar Bitcoin, assumir o controle de contas do Telegram e usar essas contas para atingir outras pessoas.
Acontece que os golpes de representação baseados em IA levaram as perdas relacionadas à criptografia a um recorde de US$ 17 bilhões em 2025, com os invasores usando cada vez mais vídeos deepfake, clonagem de voz e identidades falsas para enganar as vítimas e obter acesso a fundos, de acordo com dados da empresa de análise de blockchain Chainalysis.
Ataques semelhantes
O ataque, conforme descrito por Kuchař, corresponde muito a um técnica documentado pela primeira vez pela empresa de segurança cibernética Huntress, que relatou em julho do ano passado que esses invasores atraíram um funcionário criptográfico alvo para uma chamada Zoom encenada após o contato inicial no Telegram, muitas vezes usando um link de reunião falso hospedado em um domínio Zoom falsificado.
Durante a ligação, os invasores alegariam que há um problema de áudio e instruiriam a vítima a instalar o que parece ser uma correção relacionada ao Zoom, que na verdade é um AppleScript malicioso que inicia uma infecção do macOS em vários estágios, de acordo com a Huntress.
Uma vez executado, o script desativa o histórico do shell, verifica ou instala Rosetta 2 (uma camada de tradução) em dispositivos Apple Silicon e solicita repetidamente ao usuário a senha do sistema para obter privilégios elevados.
O estudo descobriu que a cadeia de malware instala múltiplas cargas úteis, incluindo backdoors persistentes, ferramentas de keylogging e área de transferência e ladrões de carteiras criptográficas, uma sequência semelhante que Kuchař apontou quando revelou na segunda-feira que sua conta do Telegram estava comprometido e mais tarde usado para atingir outras pessoas da mesma maneira.
Padrões sociais
Os pesquisadores de segurança da Huntress atribuíram a intrusão com grande confiança a uma ameaça persistente avançada ligada à Coreia do Norte rastreada como TA444, também conhecida como BlueNoroff e por vários outros pseudônimos operando sob o termo genérico Lazarus Group, um grupo patrocinado pelo estado focado no roubo de criptomoedas desde pelo menos 2017.
Quando questionado sobre os objetivos operacionais dessas campanhas e se eles acham que há uma correlação, Shān Zhang, diretor de segurança da informação da empresa de segurança blockchain Slowmist, disse: Descriptografar que o último ataque a Kuchař está “possivelmente” ligado a campanhas mais amplas do Grupo Lazarus.
“Há uma reutilização clara entre as campanhas. Vemos consistentemente a segmentação de carteiras específicas e o uso de scripts de instalação muito semelhantes”, disse David Liberman, co-criador da rede descentralizada de computação de IA Gonka. Descriptografar.
Imagens e vídeos “não podem mais ser tratados como prova confiável de autenticidade”, disse Liberman, acrescentando que o conteúdo digital “deve ser assinado criptograficamente por seu criador, e tais assinaturas devem exigir autorização multifatorial”.
As narrativas, em contextos como este, tornaram-se “um sinal importante a rastrear e detectar”, dada a forma como estes ataques “dependem de padrões sociais familiares”, disse ele.
O Grupo Lazarus da Coreia do Norte está ligado a campanhas contra criptografia empresas, trabalhadorese desenvolvedoresusando malware personalizado e engenharia social sofisticada para roubar ativos digitais e credenciais de acesso.
Resumo Diário Boletim informativo
Comece cada dia com as principais notícias do momento, além de recursos originais, podcast, vídeos e muito mais.
Fontedecrypt
