Golpes de Deepfake no Zoom atingem insiders de criptomoedas enquanto cofundador da BTC Prague alerta para malware Mac

Principais Conclusões:

• Insiders de criptomoedas estão sendo alvo de chamadas de vídeo deepfake que entregam malware para macOS
• O cofundador da BTC Prague, Martin Kuchař, afirma que sua conta do Telegram foi usada para espalhar o ataque
• A campanha combina táticas ligadas aos hackers BlueNoroff, associados à Coreia do Norte

Uma onda de golpes em criptomoedas com um nível altamente direcionado está explorando vídeos deepfake, contatos de relacionamento e ferramentas de trabalho populares. O cofundador da BTC Prague, Martin Kuchař, revelou que os atacantes controlaram sua conta do Telegram para atrair outros a chamadas de vídeo no Zoom e Teams com malware.

Leia Mais: $50M Desaparecem em Segundos: Erro de Carteira Copy-Paste Dispara uma das Fraudes de Endereço Mais Caras do Mundo Cripto

Índice

• Chamadas de Vídeo Deepfake Usadas como Ponto de Entrada
• Cadeia de Malware Ligada à Coreia do Norte Alvo de Usuários Mac
  • Como Funciona a Infecção no Mac
  • Campanhas de Roubo de Criptomoedas Tornam-se Mais Sofisticadas

Chamadas de Vídeo Deepfake Usadas como Ponto de Entrada

Kuchař alertou que os ataques frequentemente começam com mensagens de contatos confiáveis no Telegram ou outras plataformas. As vítimas recebem um convite para discutir o assunto ou também uma rápida sincronização em uma chamada no Zoom ou Microsoft Teams.

Após atenderem à chamada, os atacantes se passam pelo contato confiável por meio de um vídeo deepfake gerado por IA. Eles afirmam que há um problema de áudio e solicitam que a vítima instale um plugin ou arquivo específico para resolver a questão. Esse arquivo dá aos atacantes acesso total ao sistema.

Segundo Kuchař, esse método levou ao roubo de Bitcoin, ao controle de contas do Telegram e à propagação adicional do golpe por meio de identidades hijacked. Ele pediu aos usuários que tratem todas as mensagens do Telegram como não confiáveis e evitem chamadas não verificadas no Zoom ou Teams.

Leia Mais: Hackers Hijack WeChat do Co-CEO da Binance Yi He para Promover Fraude com Meme Coin, Causando Frenesi no Mercado

Cadeia de Malware Ligada à Coreia do Norte Alvo de Usuários Mac

Detalhes técnicos compartilhados por Kuchař estão alinhados com pesquisas da empresa de cibersegurança Huntress, que rastreou ataques semelhantes ao BlueNoroff, um grupo de hackers ligado ao Lazarus Group, da Coreia do Norte.

Como Funciona a Infecção no Mac

O ataque começa com um domínio falso do Zoom contendo um link de reunião falsificado. Quando as vítimas fazem a chamada, são aconselhadas a baixar um arquivo chamado Zoom support script. Na verdade, o arquivo está infectado por AppleScript, iniciando um ataque em múltiplas etapas.

O kit de malware consiste em:

• Telegram 2, um falso atualizador que mantém a persistência
• Root Troy V4, uma porta dos fundos de acesso remoto
• InjectWithDyld, um carregador furtivo para cargas úteis criptografadas
• XScreen, uma ferramenta de vigilância que registra pressionamentos de tecla e atividades na tela
• CryptoBot, um infostealer que visa mais de 20 carteiras de criptomoedas

Pesquisadores indicam que o malware usará assinaturas de desenvolvedor válidas e colocará o Rosetta em dispositivos Apple Silicon para evitar a detecção. Isso torna o ataque menos detectável, especialmente para usuários de Mac que têm uma falsa sensação de segurança de que seus sistemas são menos vulneráveis.

Campanhas de Roubo de Criptomoedas Tornam-se Mais Sofisticadas

Pesquisadores da Huntress apontam que o Mac é um alvo excelente porque um número crescente de grupos de criptomoedas usa Macs na empresa. Vídeos deepfake reforçam a credibilidade, combinando imagens em tempo real com a plataforma conhecida.

Hábitos básicos de segurança revelados por Kuchař ajudaram a reduzir suas perdas. Ele destacou o uso de autenticação de dois fatores, soluções de senha e carteiras de hardware. Também recomendou ferramentas de comunicação mais seguras, como Signal ou Jitsi, e navegadores mais seguros para chamadas mais protegidas, como Google Meet, devido ao maior isolamento de sandbox.