Hackers norte-coreanos aplicam golpe com deepfake no Zoom para instalar malware em Mac de funcionário do setor cripto

Um sofisticado golpe de engenharia social atribuído ao grupo hacker norte-coreano BlueNoroff (subgrupo do Lazarus Group) resultou na infecção do sistema macOS de um funcionário de uma fundação de criptomoeda com um conjunto de malwares altamente direcionados. O ataque teve início com uma abordagem aparentemente inocente via Telegram, onde um suposto executivo externo marcou uma reunião virtual utilizando um link do Calendly. Contudo, ao clicar no link, a vítima era redirecionada para um falso domínio do Zoom controlado pelos hackers.

Durante semanas, os atacantes construíram uma relação com o funcionário, culminando em uma videoconferência falsa com deepfakes de executivos da empresa. Após relatar problemas com o microfone, a vítima foi convencida a instalar uma “extensão do Zoom” – na verdade, um AppleScript malicioso que executava scripts de shell, desabilitava registros do terminal, pedia a senha do sistema e baixava cargas maliciosas adicionais.

A investigação conduzida pela Huntress revelou a presença de pelo menos oito binários maliciosos, incluindo backdoors, keyloggers, ladrões de criptomoedas e ferramentas de persistência, todos operando sob o disfarce de software legítimo.

Os pesquisadores também identificaram ferramentas como o CryptoBot para exfiltração de dados relacionados a criptoativos, o Root Troy V4 para execução remota de comandos e o XScreen, um keylogger completo. O BlueNoroff — também conhecido como TA444 ou APT38 — é reconhecido por ataques a exchanges de criptomoedas, como no caso da Axie Infinity (2022) e Bybit (2025), visando financiar o regime da Coreia do Norte. O grupo opera sob diferentes nomes e estruturas, como o TraderTraitor e o CryptoCore, revelando uma clara divisão e especialização nas campanhas de espionagem financeira do país.

Além disso, novas campanhas como a ClickFake Interview demonstram a evolução das táticas do grupo. Nessas operações, os invasores criam falsos processos seletivos e induzem os candidatos a rodar comandos maliciosos em seus dispositivos, simulando testes técnicos em plataformas fraudulentas.

Essas ações utilizam malwares como PylangGhost (Python) para Windows e GolangGhost para macOS, capazes de roubar cookies, credenciais e dados de mais de 80 extensões de navegador, com foco especial em carteiras de criptomoedas.

Os ataques mostram como o BlueNoroff tem expandido sua atuação de maneira transversal, atingindo diferentes sistemas operacionais, explorando engenharia social altamente convincente, e utilizando linguagens variadas de programação para ampliar a eficácia de seus malwares.

Especialistas alertam que trabalhadores remotos em áreas sensíveis, como blockchain e finanças descentralizadas, permanecem entre os alvos mais atraentes para campanhas desse tipo.

Via - THN