O grupo de hackers UNC1069, ligado à Coreia do Norte, está usando deepfakes gerados por IA em chamadas Zoom falsas para infectar funcionários de exchanges e fintechs com malwares que roubam criptomoedas. Segundo relatório da Mandiant (Google Cloud), sete famílias de malware foram deployadas em uma intrusão recente, destacando uma tática sofisticada de engenharia social. O risco para carteiras e ativos digitais é alto em meio à guerra cibernética geopolítica.
Táticas de Engenharia Social Avançada
É importante considerar como o UNC1069 inicia os ataques: uma conta do Telegram comprometida de um executivo do setor cripto contata a vítima, agenda uma reunião via Calendly que leva a um Zoom falso hospedado em infraestrutura própria (zoom.uswe05.us). Durante a chamada, um deepfake de um CEO conhecido aparece, simulando problemas de áudio para induzir a execução de comandos de “troubleshooting” via ClickFix. O risco aqui é a confiança em interações rotineiras digitais, comum em exchanges onde reuniões remotas são padrão.
Essas táticas evoluíram desde 2018, com o grupo abandonando phishing em massa por ataques personalizados. Historicamente, semelhantes falhas em verificação levaram a perdas bilionárias em hacks como o da Ronin Network. Atenção para convites inesperados de contatos conhecidos.
Malwares Deployados e Roubo de Dados
Os comandos maliciosos baixam WAVESHAPER, um backdoor que deploya HYPERCALL, SUGARLOADER e outros. São sete famílias novas: SILENCELIFT (beaconing de info do host), DEEPBREATH (rouba Keychain, browsers como Chrome/Brave, Telegram e Notes via bypass do TCC), CHROMEPUSH (keylogger e cookies via extensão falsa), entre outros. Persistência via launch daemons garante acesso prolongado.
O objetivo é colher credenciais, tokens de sessão e dados para roubo imediato ou engenharia social futura. Em 2025, hackers norte-coreanos roubaram US$ 2 bilhões em cripto, segundo a Chainalysis. Para funcionários de exchanges, o risco é expor chaves de carteiras corporativas.
Implicações Geopolíticas e Riscos para Brasileiros
Embora o briefing mencione tática russa, o UNC1069 é norte-coreano, parte de uma guerra digital onde estados-nação miram cripto para financiar regimes. No Brasil, com crescimento de fintechs e exchanges, o vetor via Telegram/Zoom é crítico. Vale monitorar: contas comprometidas, videochamadas com áudio falho e comandos de terminal.
Casos passados, como Lazarus em hacks DeFi, mostram perdas irrecuperáveis. O mercado reagiu com alertas, mas vulnerabilidades persistem.
Medidas Preventivas Essenciais
Para proteção: verifique sempre remetentes via canais alternos; use 2FA hardware; evite comandos de troubleshooting em chamadas; monitore TCC e XProtect no macOS; treine equipes em deepfakes (olhos inconsistentes, áudio dessincronizado). Ferramentas EDR detectam loaders como HYPERCALL. Não ignore: uma intrusão pode custar milhões em cripto.
📌 Nota: A fonte original estava temporariamente indisponível no momento da redação.
💰 Comece a investir em criptomoedas: Abra sua conta gratuita na Binance e acesse um dos maiores ecossistemas cripto do mundo.
📢 Este artigo contém links de afiliados. Ao se cadastrar através desses links, você ajuda a manter o blog sem custo adicional para você.
⚠️ Este conteúdo é informativo e não constitui recomendação de investimento. Faça sua própria pesquisa antes de tomar decisões financeiras.
