- Mandiant relata UNC1069 usando Telegram comprometido, chamadas falsas de Zoom e vídeos deepfake
- Vítimas enganadas para instalar pacotes de malware, incluindo WAVESHAPER, HYPERCALL e SUGARLOADER
- Atores norte-coreanos têm como alvo empresas de criptografia, continuando campanhas de roubo ligadas ao Estado, como Lazarus e TraderTraitor
Os cibercriminosos norte-coreanos parecem estar melhorando seu jogo, com novos relatórios da Mandiant alegando que os hackers agora estão usando uma combinação de contas comprometidas do Telegram, chamadas falsas do Zoom, vídeos deepfake e meia dúzia de malware cepas.
Esta mistura maligna foi aparentemente usada contra organizações do setor de criptomoedas, com o objetivo de roubar suas pilhas de criptomoedas.
Em seu relatórioa Mandiant disse que observou um grupo rastreado como UNC1069 usando esta técnica avançada. O ataque começa com uma conta comprometida do Telegram de um CEO ou de um executivo de alto escalão semelhante. A conta é então usada para iniciar uma conversa com a vítima e, após algumas idas e vindas, convidá-la para uma chamada Zoom.
Ataque mal sucedido
Mas a chamada não é legítima. É um falsificado Zoom reunião, hospedada na infraestrutura do agente da ameaça – zoom[.]uswe05[.]nós. Na ligação, é mostrado às vítimas um vídeo deepfake do CEO sendo personificado, que afirma que o áudio da vítima não está funcionando e que elas deveriam consertar.
Finalmente, da maneira tradicional do ClickFix, as vítimas recebem uma solução que, em vez de “consertar” o erro inexistente, implanta toda uma gama de malware: WAVESHAPER, HYPERCALL, HIDENCALL, SUGARLOADER, SILENCELIFT, DEEPBREATH e CHROMEPUSH.
Juntas, essas ferramentas formam uma cadeia de infecção em vários estágios que permite persistência, coleta de credenciais, roubo de dados do navegador e acesso de longo prazo.
UNC1069 não é um ator de ameaça amplamente reconhecido. No entanto, como UNC significa Sem categoria (ou Não classificado), isso pode significar apenas que um ator de ameaça observado anteriormente alterou sua infraestrutura ou técnica e ainda não foi devidamente atribuído.
Os atores norte-coreanos são famosos por visar empresas de criptografia. Alguns dos maiores assaltos foram atribuídos a grupos patrocinados pelo Estado, como o Lazarus, e estes colectivos são frequentemente encarregados de roubar criptografia através da qual o país financia o seu programa de armas e o aparelho estatal.
O maior roubo de criptomoeda já registrado foi o hack de 21 de fevereiro de 2025 do Bolsa Bybit com sede em Dubaiem que cerca de 1,5 bilhão em ativos relacionados ao Ether foram roubados de uma carteira fria. Analistas e autoridades policiais vincularam o ataque a grupos cibercriminosos ligados ao Estado norte-coreano, incluindo o Grupo Lazarus e o TraderTraitor.
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.