Hackers BlueNoroff da Coreia do Norte usaram chamadas falsas do Zoom e deepfakes de IA para violar uma empresa cripto e comprometer mais de 100 executivos de Web3 em todo o mundo.
Principais pontos
- O BlueNoroff se passou por um advogado de fintech, enviou um convite de calendário adulterado e conduziu o alvo para uma chamada falsa no Zoom.
- Um truque de área de transferência ClickFix executou PowerShell sem arquivo que capturou credenciais e dados de carteiras cripto em menos de cinco minutos.
- Filmagens de webcam roubadas alimentaram deepfakes de IA que personificaram vítimas anteriores para fisgar a próxima rodada de alvos.
BlueNoroff sequestra chamadas no Zoom para esvaziar carteiras
Pesquisadores da Arctic Wolf rastrearam a intrusão de meses até o BlueNoroff, um braço financeiramente motivado do Lazarus Group da Coreia do Norte. A campanha atingiu uma empresa norte-americana de Web3 em 23 de janeiro de 2026, e os operadores mantiveram acesso silencioso por 66 dias. Posando como um executivo jurídico de uma empresa de fintech, o invasor enviou um convite do Calendly para uma ligação de atualização de rotina agendada para dali a cinco meses.
Depois que o alvo confirmou, a reserva trocou seu link do Google Meet por um endereço Zoom com erro de digitação que parecia quase idêntico ao real. A telemetria depois mostrou a vítima clicando no link malicioso três vezes em quatro minutos, convencida de que o software estava apenas com falha.
Veja também: Bitcoin cai abaixo de US$ 59 mil à medida que temores sobre juros do Fed retornam ao cripto
Prompt ClickFix instala PowerShell sem arquivo
Dentro da reunião falsa, um pop-up afirmava que o SDK do Zoom precisava de uma atualização e oferecia uma correção rápida, um ardil conhecido como ClickFix. Quando a vítima copiou os comandos fornecidos, a página silenciosamente reescreveu a área de transferência e injetou uma carga oculta em PowerShell. Esse único colar deu ao invasor uma posição inicial sem que qualquer arquivo chegasse ao disco.
O implante então se comunicou com um servidor remoto, coletando logins de navegador e dados de carteiras cripto, e capturou sessões ativas do Telegram que depois foram reutilizadas para abordar novos alvos a partir de contas confiáveis. Do primeiro clique até a completa violação do sistema, toda a cadeia ocorreu em menos de cinco minutos, um comprometimento incomumente rápido.
Deepfakes reciclam vítimas para fisgar novos alvos
As chamadas falsas pareciam convincentes porque cada quadro de participante mostrava filmagens de webcam roubadas, fotos de rosto geradas por IA ou vídeo composto deepfake, retirados de uma biblioteca com mais de 100 vítimas anteriores em 20 países. Investigadores vincularam os rostos sintéticos ao modelo GPT-4o da OpenAI e rastrearam a edição até um operador que deixou o nome de usuário do macOS "king" nos metadados. Cada rosto roubado então alimentava o próximo atrativo, de modo que cada violação tornava o ataque seguinte mais difícil de detectar.
Os Estados Unidos responderam por 41% dos identificados, com Singapura e Reino Unido na sequência. Cerca de 80% trabalhavam com cripto, finanças em blockchain ou funções de investimento relacionadas, e fundadores ou diretores‑executivos representaram quase metade.
O BlueNoroff não é novato nesse tipo de operação. O grupo veio à tona durante o assalto ao Banco de Bangladesh em 2016, quando movimentou US$ 81 milhões, e depois migrou para cripto com sua longa operação SnatchCrypto. Esta campanha mostra que o mesmo manual agora roda com IA, elevando o nível para todas as equipes de cripto que tentam se defender.
Leia a seguir: AAVE supera Bitcoin à medida que a narrativa de empréstimos DeFi retorna