Os hackers norte-coreanos estão a implementar tecnologia de IA de deepfake para ataques a especialistas em criptomoedas

A ameaça cibernética atingiu um novo nível: grupos de hackers da Coreia do Norte estão a usar ativamente chamadas de vídeo baseadas em tecnologias de inteligência artificial para infiltrações direcionadas nos sistemas de profissionais da indústria de criptomoedas. Esta técnica de intrusão desafia os métodos tradicionais de verificação de autenticidade e exige uma reconsideração dos padrões de segurança no espaço digital.

De acordo com os últimos dados das plataformas analíticas, os hackers iniciam chamadas de vídeo através de contas do Telegram comprometidas, fingindo ser conhecidos ou parceiros comerciais das vítimas alvo. Durante a conversa, os criminosos convencem a vítima a instalar um software específico, disfarçado de um plugin útil para resolver problemas de áudio no Zoom. Como partilhou o líder da equipa de segurança da BTC Prague, o primeiro ponto de entrada muitas vezes parece uma ajuda técnica inofensiva, mas na realidade leva à completa comprometimento do dispositivo.

Dificuldade técnica dos métodos e arsenal dos hackers

O software malicioso instalado implementa nas sistemas macOS uma cadeia de infecção de múltiplas etapas. Os especialistas da Huntress, que realizaram uma análise detalhada destes incidentes, descobriram no código malicioso uma vasta gama de funções perigosas: incorporação de backdoors para controlo remoto, gravação de ações do utilizador (keyloggers), extração do conteúdo da área de transferência e acesso direto a carteiras criptográficas encriptadas. Esta arquitetura de múltiplos níveis permite aos hackers não só tomar controlo do dispositivo, mas também aceder diretamente aos recursos financeiros da vítima.

Lazarus Group e ataque cibernético estatal a profissionais de criptomoedas

A comunidade de investigadores de segurança atribuiu com alta certeza estes ataques à organização hacker Lazarus Group, também conhecida pelo nome de código BlueNoroff. Este grupo atua com o apoio de estruturas estatais da Coreia do Norte e especializa-se em operações cibernéticas direcionadas contra o setor de criptomoedas.

Os analistas da SlowMist, uma das principais empresas de segurança de blockchain, identificaram padrões na distribuição dos alvos destes ataques. Os hackers realizam operações seletivas, focando-se em carteiras digitais específicas e profissionais com elevado nível de acesso aos ativos. Cada ataque caracteriza-se por uma recolha de informações prévia e um planeamento meticuloso, indicando um caráter organizado das operações.

Evolução das ameaças na era das tecnologias de síntese de vídeo

Com a disseminação massiva de tecnologias de criação de deepfakes e síntese de voz, os métodos tradicionais de verificação de identidade perdem fiabilidade. Vídeos e gravações de áudio já não podem ser considerados provas incontestáveis da autenticidade do interlocutor. Os cibercriminosos aprenderam a usar eficazmente esta nova realidade para engenharia social.

Medidas de proteção necessárias para profissionais de criptomoedas

Tendo em conta a escala e sofisticação dos ataques, as empresas de criptomoedas e os profissionais individuais devem urgentemente rever as suas abordagens de cibersegurança. É fundamental implementar autenticação multifator, abandonar a verificação de identidade apenas por vídeo, usar canais de comunicação seguros e realizar formações regulares aos colaboradores sobre métodos de reconhecimento de engenharia social. As organizações devem estabelecer protocolos rigorosos para instalação de novos programas e realização de videoconferências, e os hackers devem permanecer sob vigilância de todas as empresas que levam a sério a proteção dos ativos dos seus utilizadores.