Através de chamadas de vídeo com deepfake: como hackers norte-coreanos atacam profissionais de criptomoedas

Hackers sob a liderança da Coreia do Norte estão a expandir o arsenal dos seus métodos de ataque para especialistas da indústria criptográfica. Uma nova abordagem — o uso de videochamadas com deepfakes gerados por IA — permite aos atacantes fazer-se passar por conhecidos ou contactos autoritativos e depois incentivar as vítimas a instalar software malicioso. Este método demonstra quão hábil se tornou o uso das tecnologias de fusão para ciberataques.

Videochamadas como ferramenta de engenharia social

Segundo a empresa de investigação Huntress, o cenário do ataque desenrola-se da seguinte forma: os atacantes sequestram as contas do Telegram de pessoas reais conhecidas da vítima alvo. De seguida, iniciam chamadas de vídeo, durante as quais o rosto do atacante é substituído por um deepfake gerado por IA. Isto contorna as verificações visuais básicas que normalmente ajudam a identificar fraudes.

Martin Kuchař, coorganizador da conferência BTC Praga, partilhou informações sobre um método específico: uma videochamada enganadora é acompanhada por uma oferta para instalar um plugin alegadamente reparador para o Zoom, supostamente para resolver problemas de áudio. Uma vez instalado o malware, os atacantes obtêm acesso total ao dispositivo infetado e podem roubar ativos criptográficos, correspondência e outros dados críticos.

Análise Técnica de Malware: Uma Infeção Multinível

O malware injetado demonstra complexidade e multifuncionalidade. Nos sistemas macOS, código malicioso pode:

• implementar backdoors para gestão remota de dispositivos
• Registar as teclas do utilizador
• copiar conteúdos da prancheta
• aceder a carteiras criptograficamente seguras e às suas chaves privadas

Esta funcionalidade permite aos hackers não só comprometer um dispositivo específico, mas também usá-lo como trampolim para operações futuras.

Grupo Lazarus e apoio governamental

Investigadores da SlowMist e da Huntress identificaram os autores dos ataques com um elevado grau de confiança. Este é o grupo norte-coreano Lazarus Group, também conhecido pelo pseudónimo BlueNoroff. O grupo recebe financiamento e apoio político do Estado, o que lhe permite melhorar constantemente os métodos de hacking.

Uma característica característica é a reutilização de componentes de código e técnicas de ataque em múltiplas operações. Isto indica uma governação centralizada e uma estratégia de longo prazo para direcionar especialistas e traders de criptomoedas.

Como proteger-se de ataques deepfake através de videochamadas

A proliferação de tecnologias de síntese facial e de voz torna os métodos de autenticação de vídeo e áudio pouco fiáveis. A indústria precisa urgentemente de repensar a sua abordagem à verificação de identidade. As recomendações incluem:

• Permitir autenticação multifator (MFA) em todos os serviços críticos
• Utilização de chaves de segurança de hardware em vez de métodos de verificação por software
• Ceticismo face a videochamadas inesperadas – mesmo que o interlocutor pareça uma cara familiar
• Atualizações regulares de sistemas operativos e software
• Formar a equipa para reconhecer engenharia social

A indústria cripto deve perceber a dimensão da ameaça e tomar medidas proativas para reforçar as suas defesas.