Deepfake como arma: como hackers norte-coreanos usam vídeos de IA contra profissionais de criptomoedas

A ameaça cibernética assume novas formas. O grupo de hackers norte-coreano Lazarus Group, conhecido também pelo nome alternativo BlueNoroff, adicionou ao seu arsenal tecnologia avançada de deepfake. Este é um passo significativo na evolução dos ciberataques à indústria de criptomoedas, onde as apostas financeiras e de ativos digitais são particularmente altas. Segundo a empresa de pesquisa Odaily, os criminosos estão a usar com sucesso vídeos sintetizados para obter acesso aos sistemas de profissionais de criptomoedas.

Como funciona o ataque com vídeo deepfake

O mecanismo do ataque é engenhoso e astuto. Hackers, atuando em nome do Lazarus Group, iniciam chamadas de vídeo através de contas comprometidas no Telegram, usando materiais de vídeo falsificados de contatos conhecidos das vítimas. Martin Kucharz, cofundador da conferência BTC Prague, registou um incidente semelhante e descreveu a tática dos atacantes: manipulam a confiança e convencem os utilizadores-alvo a instalar um software supostamente inofensivo para corrigir problemas de som no Zoom.

Aqui reside o principal perigo — software malicioso disfarçado de plugin. Após a instalação, ele fornece aos atacantes controlo total sobre o dispositivo. Investigadores da empresa de segurança Huntress descobriram que estes métodos se assemelham a operações anteriores, direcionadas a desenvolvedores no setor de criptomoedas.

Lazarus Group expande o arsenal de métodos de ataque

Especialistas da Huntress e analistas da SlowMist classificaram estas operações como pertencentes a um grupo de hackers apoiado pelo Estado da Coreia do Norte. Os atacantes demonstram sinais claros de uma abordagem sistemática: cada operação é cuidadosamente preparada e direcionada a carteiras específicas e a profissionais de criptomoedas.

O malware implantado consegue realizar infecções em múltiplas camadas nos dispositivos macOS. As suas funcionalidades incluem a instalação de backdoors, interceptação de pressionamentos de teclas, roubo de conteúdo da área de transferência e acesso a ativos criptografados em carteiras digitais. Trata-se de um ataque complexo, projetado para causar o máximo de dano.

Por que a tecnologia deepfake se torna uma ameaça crítica

Com a disseminação das tecnologias de criação de deepfakes e clonagem de voz, a verificação visual perde fiabilidade. Os métodos tradicionais de autenticação — vídeos e gravações de áudio — deixam de ser métodos seguros de autenticação. Isto cria um novo vetor de vulnerabilidades, especialmente para o setor de criptomoedas, onde as transações podem envolver valores elevados e a recuperação de ativos perdidos é mínima.

Analistas alertam que, à medida que as tecnologias de deepfake evoluem e as ferramentas correspondentes se tornam mais acessíveis, o número de ataques deste tipo só aumentará. Os criminosos terão métodos cada vez mais eficazes para contornar os mecanismos tradicionais de confiança.

Como proteger-se de ataques de deepfake

A indústria de criptomoedas deve não apenas reagir às ameaças, mas reforçar ativamente as suas defesas. A medida prioritária é a implementação e uso de autenticação multifator em todos os níveis. Nunca se deve abrir links ou descarregar software com base em chamadas de vídeo, mesmo que o interlocutor seja visualmente conhecido.

Além disso, os profissionais de criptomoedas devem confiar em canais adicionais de verificação de identidade: chamadas de voz por outras plataformas, mensagens diretas através de canais seguros, palavras-chave previamente acordadas. As empresas devem treinar os seus colaboradores a reconhecer sinais de engenharia social e exploração da confiança através de vídeos deepfake. A consciência e a cautela são barreiras essenciais de proteção na era das tecnologias avançadas de síntese de vídeo.