Hackers BlueNoroff da Coreia do Norte usaram chamadas falsas do Zoom e deepfakes de IA para invadir uma empresa de cripto e comprometer mais de 100 executivos de Web3 em todo o mundo.
Pontos-chave
- O BlueNoroff se passou por um advogado de fintech, enviou um convite de calendário adulterado e levou o alvo a uma chamada falsa no Zoom.
- Um truque de área de transferência ClickFix executou PowerShell sem arquivo que capturou credenciais e dados de carteiras cripto em menos de cinco minutos.
- Filmagens de webcam roubadas alimentaram deepfakes de IA que se passavam por vítimas anteriores para fisgar a próxima leva de alvos.
BlueNoroff sequestra chamadas do Zoom para esvaziar carteiras
Pesquisadores da Arctic Wolf rastrearam a intrusão de vários meses até o BlueNoroff, um braço financeiramente motivado do Lazarus Group da Coreia do Norte. A campanha atingiu uma empresa norte-americana de Web3 em 23 de janeiro de 2026, e os operadores mantiveram acesso silenciosamente por 66 dias. Fingindo ser um executivo jurídico de uma fintech, o atacante enviou um convite do Calendly para uma ligação de acompanhamento rotineira agendada para cinco meses depois.
Após a confirmação do alvo, a reserva trocou seu link do Google Meet por um endereço de Zoom com erro de digitação que parecia quase idêntico ao verdadeiro. A telemetria depois mostrou a vítima clicando no link malicioso três vezes em quatro minutos, convencida de que o software estava apenas com falhas.
Leia também: Bitcoin cai abaixo de US$ 59 mil à medida que temores sobre juros do Fed voltam ao cripto
Prompt ClickFix instala PowerShell sem arquivo
Dentro da reunião falsa, um pop-up alegava que o SDK do Zoom precisava de atualização e oferecia uma correção rápida, uma artimanha conhecida como ClickFix. Quando a vítima copiou os comandos fornecidos, a página reescreveu silenciosamente a área de transferência e injetou um payload oculto de PowerShell. Esse único colar deu ao atacante uma base de acesso sem que qualquer arquivo tocasse o disco.
O implante então se conectou a um servidor remoto, coletando logins de navegador e dados de carteiras cripto, e roubou sessões ativas do Telegram que depois foram reutilizadas para abordar novos alvos a partir de contas confiáveis. Do primeiro clique até o comprometimento completo do sistema, toda a cadeia ocorreu em menos de cinco minutos, um comprometimento incomumente rápido.
Deepfakes reciclam vítimas para fisgar novos alvos
As chamadas falsas pareciam convincentes porque cada quadrado de participante mostrava filmagens de webcam roubadas, fotos de rosto geradas por IA ou vídeo composto deepfake, extraídos de uma biblioteca com mais de 100 vítimas anteriores em 20 países. Investigadores vincularam os rostos sintéticos ao modelo GPT-4o da OpenAI e rastrearam a edição até um operador que deixou o nome de usuário do macOS "king" nos metadados. Cada rosto roubado então alimentava o próximo golpe, de modo que cada violação tornava o ataque seguinte mais difícil de detectar.
Os Estados Unidos responderam por 41% dos identificados, com Singapura e Reino Unido em seguida. Cerca de 80% trabalhavam em cripto, finanças de blockchain ou funções de investimento relacionadas, e fundadores ou diretores‑executivos representavam quase metade.
O BlueNoroff não é novato nesse tipo de operação. O grupo surgiu durante o assalto ao Banco de Bangladesh em 2016, quando movimentou US$ 81 milhões, e depois migrou para cripto com sua longa operação SnatchCrypto. Esta campanha mostra que o mesmo manual agora roda com IA, elevando o nível para todas as equipes de cripto que tentam se defender.
Leia em seguida: AAVE supera o Bitcoin à medida que a narrativa de empréstimos DeFi retorna