A equipe de segurança do Google na Mandiant alertou que hackers norte-coreanos estão incorporando deepfakes gerados por inteligência artificial em reuniões de vídeos falsos como parte de ataques cada vez mais sofisticados contra empresas de criptomoedasde acordo com um relatório divulgado na segunda-feira.
A Mandiant afirmou ter investigado recentemente uma intrusão em uma empresa fintech que atribui ao UNC1069, ou “CryptoCore”, um grupo de ameaças com alta probabilidade de estar ligado à Coreia do Norte.
O ataque usou uma conta comprometida do Telegram, uma reunião falsa no Zoom e uma técnica chamada ClickFix para enganar a vítima e fazer-la executar comandos maliciosos. O investigador também encontrou evidências de que vídeos gerados por IA foram usados para enganar o alvo durante uma reunião falsa.
“A Mandiant inspirou o UNC1069 empregando essas técnicas para atacar tanto entidades corporativas quanto indivíduos no setor de criptomoedas, incluindo empresas de software e seus desenvolvedores, bem como empresas de capital de risco e seus funcionários ou executivos”, diz o relatório.
Campanha de roubo de criptomoedas da Coreia do Norte
O alerta surge em um momento em que os roubos de criptomoedas pela Coreia do Norte continuam a crescer em escala. Em meados de dezembro, a empresa de análise de blockchain Chainalysis afirmou que hackers norte-coreanos roubaram US$ 2,02 bilhões em criptomoedas em 2025, um aumento de 51% em relação ao ano anterior. O valor total roubado por agentes ligados à Coreia do Norte agora chega a aproximadamente US$ 6,75 bilhões, mesmo com a diminuição do número de ataques.
As descobertas destacam uma mudança mais ampla na forma como os cibercriminosos ligados ao Estado estão operando. Em vez de depender de campanhas de phishing em massa, o CryptoCore e grupos semelhantes estão se concentrando em ataques altamente personalizados que exploram a confiança em interações digitais rotineiras, como convites de calendário e videochamadas. Desta forma, a Coreia do Norte está conseguindo roubos maiores por meio de menos incidentes, porém mais direcionados.
De acordo com a Mandiant, o ataque começou quando a vítima foi contatada no Telegram por alguém que parecia ser um executivo conhecido do setor de criptomoedas, cuja conta já havia sido comprometida. Após estabelecer um relacionamento, o atacante invejou um link do Calendly para uma reunião de 30 minutos que direcionou a vítima para uma chamada falsa do Zoom hospedada na própria infraestrutura do grupo. Durante a ligação, a vítima relatou ter visto o que parecia ser um vídeo deepfake de um conhecido CEO do setor de criptomoedas.
Assim que a reunião começou, os atacantes alegaram ter problemas de áudio e instruíram a vítima a executar comandos de “solução de problemas”, uma técnica do ClickFix que acabou por desencadear uma infecção por malware. Análises forenses posteriores identificaram sete famílias distintas de malware no sistema da vítima, implantadas em uma investigação aparente de evidências de coleta, dados do navegador e tokens de sessão para roubo financeiro e futura falsificação de identidade.
Falsificação de identidade com deepfake
Fraser Edwards, cofundador e CEO da empresa de identidade descentralizada cheqd, afirmou que o ataque reflete um padrão que ele tem sido transmitido repetidamente contra pessoas cujos trabalhos dependem de reuniões remotas e de forma progressiva e rápida. “A eficácia dessa abordagem reside no quão precisa parecer incomum”, disse Edwards.
“O remetente é conhecido. O formato da reunião é rotineiro. Não há nenhum malware associado ou vulnerabilidade óbvia. A confiança é conquistada antes que qualquer defesa técnica tenha uma chance de intervir.”
Edwards afirmou que vídeos deepfake são normalmente introduzidos em pontos de escalonamento, como chamadas ao vivo, onde ver um rosto familiar pode dissipar dúvidas criadas por transmissões inesperadas ou problemas técnicos. “Ver o que parece ser uma pessoa real na câmera geralmente é suficiente para dissipar dúvidas criadas por uma solicitação inesperada ou um problema técnico. O objetivo não é prolongar a interação, mas sim criar realismo suficiente para levar a vítima na próxima etapa”, disse ele.
Ele acrescentou que a IA agora está sendo usada para dar suporte à falsificação de identidade fora de chamadas ao vivo. “Ela é usada para redigir mensagens, corrigir o tom de voz e imitar a maneira como alguém normalmente se comunica com colegas ou amigos. Isso torna as mensagens rotineiras mais difíceis de questionar e reduz a chance do destinatário parar tempo suficiente para verificar a interação”, explicou.
Edwards alertou que o risco aumentou à medida que os agentes de IA foram introduzidos na comunicação e na tomada de decisões do dia a dia. “Os agentes podem enviar mensagens, agendar chamadas e agir em nome dos usuários na velocidade da máquina. Se esses sistemas forem abusados ou comprometidos, áudio ou vídeo deepfake podem ser implantados automaticamente, evoluindo a falsificação de identidade de um esforço manual em um processo escalável”, disse ele.
É “irrealista” esperar que a maioria dos usuários saiba como identificar um deepfake, disse Edwards, acrescentando que “a resposta não é pedir aos usuários que prestem mais atenção, mas sim construir sistemas que os protejam por padrão. Isso significa melhorar a forma como a descoberta é sinalizada e verificada, para que os usuários possam entender rapidamente se o conteúdo é real, sintético ou não selecionado, sem depender de instinto, familiaridade ou investigação manual”.
* Traduzido e editado com autorização do Decrypt.
Procurando uma carteira com alto ganho, mas sem o sobe e desce do mercado? A Renda Fixa Digital do MB oferece ativos com ganhos de até 18% ao ano, risco controlado e total segurança para seus investimentos. Conheça agora!
Fonteportaldobitcoin
