Agentes de ameaça norte-coreanos estão novamente a visar programadores e profissionais de criptomoedas usando chamadas de vídeo ao vivo no Zoom para enganá-los e levá-los a instalar malware.

Hackers baseados na Coreia do Norte estão a usar contas de Telegram comprometidas e vídeos deepfake de IA para se fazer passar por contactos conhecidos e entregar cargas maliciosas, segundo o cofundador da BTC Prague, Martin Kuchař.

"Uma campanha de hacking de alto nível está atualmente a visar utilizadores de Bitcoin e cripto. Fui pessoalmente afetado através de uma conta de Telegram comprometida", escreveu Kuchař no X.

Segundo a sua publicação, as vítimas recebem uma chamada de um contacto conhecido, que é originalmente uma conta de Telegram sequestrada tomada por atacantes. Através destas chamadas ao vivo, os agentes maliciosos fingem ser o amigo da vítima usando tecnologia deepfake, enquanto permanecem silenciados.

Este silêncio funciona como isca, já que a próxima fase do ataque envolve convencer a vítima a instalar um plugin ou um ficheiro que alega corrigir problemas de áudio. Na realidade, o ficheiro contém malware, frequentemente um Trojan de Acesso Remoto, que concede aos atacantes acesso total ao sistema assim que é executado.

Assim que o acesso é obtido, os atacantes conseguem ver todos os contactos do Telegram e reutilizar a conta comprometida para alcançar a próxima vítima da mesma maneira.

"Informe os seus colegas e rede imediatamente. Não participe em chamadas não verificadas do Zoom/Teams", acrescentou Kuchař.

Investigadores de segurança da empresa de cibersegurança Huntress observaram que ataques semelhantes foram lançados pelo TA444, um grupo de ameaça patrocinado pelo estado norte-coreano que opera sob o notório Lazarus Group.

Hackers norte-coreanos desviaram mais de 300 milhões de dólares 

Embora não seja um vetor de ataque novo, os hackers norte-coreanos já roubaram mais de 300 milhões de dólares usando técnicas semelhantes, conforme alertou o investigador de segurança da MetaMask, Taylor Monahan, no mês passado.

Monahan alertou que os atacantes frequentemente dependem do histórico de conversas anterior para aprender mais sobre as vítimas antes de o usar contra elas para ganhar a sua confiança.

Os alvos mais comuns são aqueles profundamente envolvidos no espaço cripto, incluindo programadores, funcionários de exchanges e executivos de empresas. Num exemplo de setembro do ano passado, um ataque direcionado contra um executivo da THORchain levou a perdas de cerca de 1,3 milhões de dólares depois de uma carteira MetaMask ter sido esvaziada sem quaisquer avisos do sistema ou pedidos de aprovação de administrador.