Nos últimos dias, pelo menos três fundadores de empresas no setor das criptomoedas relataram tentativas de fraude relacionadas a suspeitos hackers norte-coreanos. Os criminosos cibernéticos teriam tentado roubar dados sensíveis através de chamadas Zoom falsificadas, utilizando uma técnica sofisticada que explora a psicologia das vítimas.
Summary
O novo método dos hackers da Coreia do Norte: falsas chamadas Zoom com problemas técnicos
Nick Bax, membro do grupo de hackers éticos Security Alliance, denunciou o novo método de ataque com um post no X (ex Twitter) em 11 de março. Segundo Bax, esta estratégia já levou ao roubo de milhões de dólares por parte dos fraudadores.
O modus operandi prevê o contato da vítima com uma proposta de encontro ou colaboração. Uma vez iniciada a videochamada, os mal-intencionados enviam uma mensagem sinalizando problemas de áudio, enquanto na tela aparece um vídeo pré-gravado de um pseudo-investidor com ar entediado. Nesse ponto, é enviado à vítima um link para uma nova chamada, explicando que é necessário para resolver o problema técnico.
No entanto, o novo link é na realidade um malware disfarçado, que pede ao usuário para instalar um patch para restaurar o funcionamento correto de áudio/vídeo. Bax destaca como esta técnica explora a pressa e a pressão psicológica do momento:
“Vocês pensam que estão encontrando investidores importantes e tentam resolver o problema rapidamente, baixando a guarda. Mas uma vez instalada a patch, vocês estão ferrados.”
Fundadores de empresas de crypto no alvo dos hackers norte-coreanos
Após a revelação de Bax, vários fundadores de empresas no setor de blockchain compartilharam experiências semelhantes. Giulio Xiloyannis, cofundador da plataforma de jogos baseada em blockchain Mon Protocol, relatou que quase caiu no golpe. Segundo relatos, os hackers tentaram enganá-lo e ao responsável de marketing com uma proposta de parceria. No entanto, Xiloyannis percebeu o engano quando foi redirecionado no último momento para um link suspeito, que alegava não conseguir ler o áudio para induzi-lo a baixar um arquivo perigoso.
Outro caso diz respeito a David Zhang, cofundador da Stably, uma startup que trabalha com stablecoin apoiadas por venture capital dos EUA. Ele também foi contatado pelos golpistas, que inicialmente usaram seu link pessoal do Google Meet. No entanto, pouco depois, sob o pretexto de uma reunião interna, pediram-lhe para se conectar a outra videochamada falsa.
Zhang, que atendeu a chamada em seu tablet, considerou que o malware dos hackers foi projetado predominantemente para sistemas operacionais desktop, pois não notou anomalias evidentes em seu dispositivo móvel.
Outra vítima da tentativa de ataque é Melbin Thomas, fundador da plataforma descentralizada de inteligência artificial Devdock AI, especializada em projetos Web3. Após iniciar por engano a instalação do arquivo infectado, Thomas conseguiu bloquear o processo a tempo evitando inserir a senha. Por precaução, ele desconectou o laptop e restaurou o dispositivo para as configurações de fábrica, mas permanece a dúvida se os arquivos transferidos para um disco rígido externo foram comprometidos.
O alerta dos Estados Unidos, Japão e Coreia do Sul sobre os ciberataques norte-coreanos
Esses episódios se inserem em um contexto mais amplo de crescente ameaça cibernética por parte de grupos hacker norte-coreanos. Em 14 de janeiro, Estados Unidos, Japão e Coreia do Sul emitiram um comunicado conjunto para alertar sobre o perigo representado por criminosos informáticos ligados à Coreia do Norte, com particular atenção para o setor das criptomoedas.
Entre os grupos de hackers mais conhecidos está o Lazarus Group, acusado de estar envolvido em alguns dos maiores roubos na história da blockchain. O grupo é suspeito de ter orquestrado ataques como o contra Bybit, que resultou na subtração de 1,4 bilhões de dólares, e o contra a rede Ronin, que viu um roubo de 600 milhões de dólares.
Após os numerosos ataques, os hackers de Lazarus transferiram os fundos roubados através de plataformas de mixing, ferramentas utilizadas para ofuscar a proveniência das criptomoedas. Segundo a CertiK, empresa especializada em segurança blockchain, o grupo recentemente depositou 400 Ethereum (ETH), no valor de cerca de 750.000 dólares, no serviço de mixing Tornado Cash.
Conclusões: um risco crescente para o mundo crypto
Os episódios relatados pelos fundadores de empresas no setor de blockchain confirmam que os hackers estão aprimorando cada vez mais suas técnicas, explorando a confiança e a pressa das vítimas. A crescente frequência desses ataques leva os especialistas em segurança a reiterar a importância de adotar medidas preventivas, como verificar cada link antes de clicá-lo e evitar instalar arquivos de fontes desconhecidas.
Com o intensificar das atividades de grupos como Lazarus, o mundo das criptomoedas deve enfrentar um risco cada vez maior relacionado aos ciberataques. A colaboração entre empresas, especialistas em segurança e governos será fundamental para combater essas ameaças e proteger os capitais digitais de roubos cada vez mais sofisticados.
