Ativos de criptografia lavar os olhos升级！Coreia do Norte Lazarus usa IA para deepfake Zoom e rouba centenas de milhões de dólares

Os hackers de criptografia da Coreia do Norte estão aprimorando uma comum lavagem os olhos de ativos de criptografia. De acordo com um relatório da empresa de segurança digital Kaspersky, o temido grupo criminoso da Coreia do Norte, o Lazarus Group, através da sua divisão BlueNoroff APT, está utilizando duas novas atividades chamadas GhostCall e GhostHire, empregando inteligência artificial e chamadas de vídeo repetidas para aumentar a credibilidade.

Grupo Lazarus da Coreia do Norte transforma-se de candidato em caçador

（origem：X）

Os hackers de criptografia da Coreia do Norte tornaram-se uma ameaça global, mas suas estratégias de infiltração sofreram mudanças significativas. Esses criminosos costumavam apenas se candidatar a empregos em empresas Web3, tentando roubar ativos ou implantar portas dos fundos ao se tornarem funcionários internos. No entanto, recentemente, eles começaram a usar mensagens de recrutamento falsas para espalhar malware, transformando-se de candidatos em caçadores. Agora, seus planos estão se expandindo novamente, com métodos ainda mais difíceis de identificar.

O Lazarus Group é um grupo de hackers apoiado pelo governo da Coreia do Norte, considerado o mais ativo e bem-sucedido ladrão de ativos de criptografia do mundo. De acordo com as estimativas das Nações Unidas e da empresa de análise de blockchain Chainalysis, o grupo já roubou mais de 3 bilhões de dólares em ativos de criptografia desde 2017. Esses fundos são usados para financiar os programas de armas nucleares e mísseis da Coreia do Norte, tornando-se uma ameaça à segurança internacional.

No passado, as táticas do Lazarus eram relativamente rudimentares. Eles enviavam um grande volume de e-mails de phishing, anexando documentos infectados, esperando que alguém clicasse. Ou então, disfarçavam-se de candidatos a emprego em plataformas de redes sociais profissionais como o LinkedIn, tentando entrar nas empresas de Ativos de criptografia. Embora esses métodos às vezes tenham sucesso, a taxa de sucesso não era alta, pois muitas empresas já haviam estabelecido mecanismos de defesa correspondentes.

No entanto, o BlueNoroff APT, como um ramo do Lazarus Group especializado em instituições financeiras e Ativos de criptografia, está demonstrando maior profissionalismo e adaptabilidade. Pesquisadores da Kaspersky descobriram que as atividades GhostCall e GhostHire compartilham a mesma infraestrutura de gestão, mostrando que se trata de um plano de ataque multidimensional bem coordenado.

GhostCall e GhostHire: um esquema de lavar os olhos de Ativos de criptografia

GhostCall e GhostHire representam uma nova fase de lavagens os olhos de Ativos de criptografia, ambos focados em diferentes alvos, mas utilizando técnicas de engenharia social semelhantes.

GhostCall: lavar os olhos para investidores de alto nível do Web3

No GhostCall, esses hackers de criptografia da Coreia do Norte visam altos executivos do Web3, disfarçando-se como investidores potenciais. Eles estudam o histórico do alvo, a situação da empresa e as atividades recentes, e então enviam propostas de investimento ou convites para colaboração altamente personalizadas. Essas mensagens geralmente afirmam representar fundos de capital de risco conhecidos ou escritórios familiares, e indicam interesse em investir milhões de dólares.

Uma vez que o alvo responda, os hackers agendarão uma videoconferência, geralmente alegando que usam o Zoom ou o Microsoft Teams. No entanto, eles enviarão um link para uma versão “atualizada” ou “segura” do software de conferência, alegando que isso é para proteger segredos comerciais ou cumprir requisitos de conformidade. Este software é, na verdade, uma versão clonada, embutida com código malicioso.

GhostHire: armadilha de recrutamento para engenheiros de blockchain

Por outro lado, o GhostHire atrai engenheiros de blockchain com oportunidades de trabalho atraentes. Os hackers fingem ser recrutadores de empresas de criptografia conhecidas ou de projetos de startups, oferecendo salários e incentivos de ações muito acima do mercado. Para “testar” as habilidades dos candidatos, eles exigem que completem um desafio de programação ou uma tarefa técnica.

Esta tarefa geralmente envolve o download de um repositório GitHub ou de um ambiente de desenvolvimento específico. No entanto, estes arquivos contêm malware que, uma vez executado, irá infectar o sistema. A Kaspersky apontou que estes hackers começaram a focar nos sistemas operacionais preferidos dos desenvolvedores de ativos de criptografia, especialmente macOS e Linux, e desenvolveram variantes de malware de forma direcionada.

Estas duas fraudes de ativos de criptografia têm um defeito comum: as vítimas devem realmente interagir com o software suspeito. Isso prejudica a taxa de sucesso das fraudes anteriores, pois um número crescente de profissionais com alta consciência de segurança recusa-se a baixar software de origem desconhecida. No entanto, estes hackers norte-coreanos encontraram uma nova maneira de reutilizar as oportunidades perdidas, que é a chave para a atual escalada da ameaça.

A tecnologia de deepfake de IA transforma falhas em novas armas

A colaboração aprimorada entre GhostCall e GhostHire permite que os hackers melhorem suas técnicas de engenharia social, que é a evolução mais perigosa das atuais fraudes com ativos de criptografia. Além do conteúdo gerado por IA, eles também podem utilizar contas de empresários reais que foram hackeadas ou trechos de chamadas de vídeo reais, tornando suas fraudes mais credíveis.

A operação específica é a seguinte: quando um alto executivo de uma moeda de criptografia corta a ligação com recrutadores ou investidores suspeitos, os hackers não desistem facilmente. Em vez disso, eles gravam todo o processo de interação, incluindo quaisquer imagens de chamadas de vídeo, trechos de áudio e o ambiente de fundo. Mesmo que este golpe falhe, esse material torna-se uma arma para atacar a próxima vítima.

Utilizando inteligência artificial, hackers podem sintetizar novos “diálogos”, imitando com uma incrível sensação de realismo o tom, os gestos e o ambiente ao redor das pessoas. Por exemplo:

Deepfake de vídeo: hackers podem usar ferramentas de IA para combinar 30 segundos de vídeo real obtidos de um esquema fraudulento em uma “apresentação de investimento” ou “entrevista técnica” de 5 minutos, onde as expressões faciais e os movimentos dos lábios da vítima são perfeitamente sincronizados com uma voz falsificada.

Clonagem de voz: Mesmo com apenas alguns segundos de amostra de voz, as ferramentas de IA modernas conseguem gerar clonagens de voz que são quase indistinguíveis da original. Hackers podem fazer com que a “vítima” “recomende” uma oportunidade de investimento ou um processo de recrutamento em um novo golpe.

Sobreposição de Identidade: O que torna as coisas mais complicadas é que os hackers combinam materiais de múltiplas fraudes falhadas para criar um ecossistema falso completo. Por exemplo, eles podem fazer com que o “Investidor A” mencione o “Fundador B” em um vídeo, sendo que ambos são vítimas de fraudes anteriores.

Isto é muito perigoso, como se pode imaginar. Um fundador de um projeto de ativos de criptografia pode escapar de um ataque devido à sua alta vigilância, mas descobre que a sua imagem foi utilizada para enganar outros fundadores ou investidores algumas semanas depois. Pior ainda, este conteúdo deepfake pode ser disseminado nas redes sociais ou em redes profissionais, prejudicando a reputação da vítima.

cadeia de ataque real e sugestões de defesa

Independentemente de quem seja o alvo, as cadeias de ataques reais de lavagem os olhos de ativos de criptografia seguem padrões semelhantes:

Fase um: Pesquisa e Contato

Os hackers pesquisam alvos no LinkedIn, Twitter e fóruns de Ativos de criptografia, coletando informações pessoais e profissionais, e depois enviam mensagens iniciais altamente personalizadas.

Fase dois: Estabelecer confiança

Estabelecer uma relação de confiança através de várias comunicações e chamadas de vídeo (possivelmente usando tecnologia deepfake), para fazer o alvo relaxar a vigilância.

Fase Três: Induzir Download

Com razões razoáveis (teste, conformidade, confidencialidade) solicitar ao alvo para baixar software ou documentos específicos.

Fase Quatro: Permeação do Sistema

Uma vez que o software malicioso é executado, os hackers obtêm acesso ao sistema, roubam chaves privadas, frases-semente ou transferem diretamente ativos.

Fase cinco: Coleta de materiais

Mesmo que o ataque falhe, os hackers coletarão todos os vídeos, áudios e informações do processo de interação para futuros ataques.

Medidas de defesa chave

Verificação rigorosa de identidade: confirme a identidade da outra parte através de vários canais independentes, não confie apenas em um único meio de contato.

Recusar software não padrão: Insistir em usar ferramentas oficiais como Zoom, Teams, etc., e recusar qualquer “versão especial”.

Ambiente de teste isolado: Se for necessário testar código ou documentos, utilize máquinas virtuais ou ambientes de sandbox, nunca execute no sistema principal.

Cuidado com táticas de alta pressão: Qualquer situação que crie um senso de urgência, exija decisões rápidas ou afirme “uma única oportunidade” deve ser altamente suspeita.

Carteira de hardware e multi-assinatura: garantir que as chaves privadas sejam armazenadas em uma carteira de hardware, com ativos importantes protegidos por multi-assinatura.

Mesmo que esses lavar os olhos de ativos de criptografia falhem, os danos potenciais ainda são enormes. Qualquer um que seja exposto a situações anormais ou de alta pressão deve permanecer vigilante e nunca baixar softwares desconhecidos ou aceitar pedidos inadequados. A evolução contínua do Lazarus Group da Coreia do Norte mostra que a segurança dos ativos de criptografia não é apenas um problema técnico, mas sim uma guerra de longo prazo contra atacantes de nível nacional.