Hackers BlueNoroff da Coreia do Norte usaram chamadas falsas no Zoom e deepfakes de IA para invadir uma empresa de cripto e comprometer mais de 100 executivos Web3 em todo o mundo.
Principais pontos
- O BlueNoroff se passou por um advogado de fintech, enviou um convite de calendário adulterado e conduziu o alvo a uma chamada falsa no Zoom.
- Um truque de área de transferência ClickFix executou PowerShell sem arquivo que tomou credenciais e dados de carteiras de cripto em menos de cinco minutos.
- Filmagens de webcam roubadas alimentaram deepfakes de IA que se passaram por vítimas anteriores para fisgar a próxima leva de alvos.
BlueNoroff sequestra chamadas no Zoom para esvaziar carteiras
Pesquisadores da Arctic Wolf rastrearam a intrusão de meses até o BlueNoroff, um braço financeiramente motivado do Lazarus Group da Coreia do Norte. A campanha atingiu uma empresa Web3 norte-americana em 23 de janeiro de 2026, e os operadores mantiveram acesso silenciosamente por 66 dias. Fazendo-se passar por um executivo jurídico de uma fintech, o invasor enviou um convite do Calendly para uma chamada de rotina marcada para dali a cinco meses.
Depois que o alvo confirmou, a reserva trocou seu link do Google Meet por um endereço do Zoom com erro de digitação que parecia quase idêntico ao verdadeiro. A telemetria depois mostrou a vítima clicando no link malicioso três vezes em quatro minutos, convencida de que o software estava apenas com falhas.
Veja também: Bitcoin cai abaixo de US$ 59 mil com volta do temor sobre juros do Fed no cripto
Prompt ClickFix instala PowerShell sem arquivo
Dentro da reunião falsa, um pop-up alegava que o SDK do Zoom precisava de atualização e oferecia uma correção rápida, um estratagema conhecido como ClickFix. Quando a vítima copiou os comandos fornecidos, a página silenciosamente reescreveu a área de transferência e injetou uma carga oculta em PowerShell. Esse único colar deu ao invasor um ponto de apoio sem que nenhum arquivo tocasse o disco.
O implante então se comunicou com um servidor remoto, coletando logins de navegador e dados de carteiras de cripto, e capturou sessões ativas do Telegram que depois foram reutilizadas para abordar novos alvos a partir de contas confiáveis. Do primeiro clique até o comprometimento completo do sistema, toda a cadeia levou menos de cinco minutos, um ataque incomumente rápido.
Deepfakes reciclam vítimas para fisgar novos alvos
As chamadas falsas pareciam convincentes porque cada quadro de participante exibia filmagens de webcam roubadas, fotos de rosto geradas por IA ou vídeo composto com deepfake, retirados de uma biblioteca com mais de 100 vítimas anteriores em 20 países. Investigadores vincularam os rostos sintéticos ao modelo GPT-4o da OpenAI e rastrearam a edição até um operador que deixou o nome de usuário do macOS "king" nos metadados. Cada rosto roubado então alimentava a próxima isca, de modo que cada violação tornava o ataque seguinte mais difícil de detectar.
Os Estados Unidos responderam por 41% dos identificados, com Singapura e Reino Unido em seguida. Cerca de 80% trabalhavam com cripto, finanças em blockchain ou funções de investimento relacionadas, e fundadores ou diretores‑executivos representavam quase a metade.
O BlueNoroff não é novato nesse ramo. O grupo veio à tona durante o assalto ao Banco de Bangladesh em 2016, quando movimentou US$ 81 milhões, e depois migrou para cripto com sua longa operação SnatchCrypto. Esta campanha mostra que o mesmo roteiro agora roda com IA, elevando a barra para toda equipe de cripto que tenta se defender.
Leia em seguida: AAVE supera Bitcoin com volta da narrativa de empréstimos DeFi