Clonagem de telemóvel e deepfakes de IA: como hackers norte-coreanos atacam profissionais de criptomoedas

A indústria de criptomoedas enfrentou uma nova vaga de ameaças cibernéticas. Hackers norte-coreanos, associados ao Lazarus Group, estão a usar métodos inovadores de ataque, incluindo a integração profunda de tecnologias de clonagem de telemóveis e vídeos gerados por IA. Esta combinação permite-lhes infiltrar-se nos sistemas de profissionais de criptomoedas com uma eficácia sem precedentes e roubar ativos digitais.

De acordo com informações de empresas de investigação, incluindo Odaily e Huntress, os criminosos utilizam contas comprometidas do Telegram para iniciar chamadas de vídeo com rostos falsificados. Disfarçam-se de conhecidos, colegas ou pessoas de confiança, para convencer as vítimas a instalar software malicioso.

Chamadas de vídeo com rostos falsificados: nova tática do Lazarus Group

Martín Kucharz, cofundador da conferência BTC Prague, partilhou detalhes de uma dessas tentativas. Os atacantes iniciam chamadas de vídeo através de contas invadidas e usam deepfakes gerados por IA para falsificar a identidade. Sob o pretexto de resolver problemas de áudio no Zoom, convencem os utilizadores a descarregar um “plugin” ou “atualização” específica.

Isto revela-se exatamente como o ponto de entrada através do qual ocorre a clonagem do telemóvel e a instalação de malware de múltiplos níveis. A vítima, pensando que resolve um problema técnico, na verdade fornece aos hackers acesso completo ao seu dispositivo.

Infecção em múltiplas camadas: como o malware invade dispositivos

Pesquisas da Huntress revelaram que scripts descarregados podem realizar operações complexas em dispositivos macOS. Equipamentos infetados tornam-se alvos para a instalação de backdoors — acessos ocultos através dos quais hackers podem regressar ao sistema a qualquer momento.

As capacidades do malware vão muito além do simples espionagem:

• Gravação de todas as teclas pressionadas (incluindo passwords e códigos de acesso)
• Interceptação do conteúdo da área de transferência (onde podem estar informações sobre carteiras)
• Acesso a ativos encriptados e carteiras de criptomoedas
• Clonagem de dados do dispositivo para uso em operações futuras

Clonagem de dispositivos e roubo de ativos de criptomoedas

Especialistas da SlowMist observam que estas operações demonstram sinais claros de uma campanha planeada contra alvos específicos. Cada ataque é cuidadosamente planeado e adaptado ao profissional de criptomoedas ou à carteira em questão.

O grupo, também conhecido como BlueNoroff, usa os dados de clonagem do dispositivo não só para acesso a curto prazo, mas também para controlo a longo prazo. Podem monitorizar transações, rastrear movimentos de ativos e aguardar o momento ideal para os roubar.

Particularmente perigoso é o facto de a clonagem do telemóvel permitir aos criminosos contornar métodos tradicionais de autenticação de dois fatores, que se baseiam em códigos SMS enviados para o dispositivo da vítima.

Proteção contra ataques avançados: medidas práticas de segurança

Com a disseminação de tecnologias de clonagem de voz e de rostos em vídeos e áudios, estes materiais deixam de ser métodos fiáveis de verificação de identidade. A indústria de criptomoedas deve repensar urgentemente a sua abordagem à segurança.

Os especialistas recomendam implementar as seguintes medidas:

• Autenticação multifator (MFA) — não confiar apenas em SMS, usar chaves de segurança físicas
• Verificação de identidade através de canais independentes — ligar para um número conhecido se tiver dúvidas sobre a autenticidade de uma chamada de vídeo
• Atualizações de segurança regulares — manter o software e aplicações atualizados para corrigir vulnerabilidades
• Monitorização de dispositivos — acompanhar atividades incomuns, processos suspeitos, alterações no sistema
• Isolamento de ativos críticos — guardar grandes quantidades em carteiras frias, desconectadas da internet

Hackers norte-coreanos continuam a aperfeiçoar as suas táticas, usando tecnologias avançadas de IA e clonagem para contornar as defesas tradicionais. A indústria de criptomoedas deve manter-se vigilante e adaptar continuamente as suas estratégias de segurança para combater estas ameaças crescentes. Apenas uma abordagem integral de cibersegurança, incluindo a utilização de clonagem de telemóveis para detectar atividades suspeitas e fortalecer a autenticação multifator, pode garantir uma proteção fiável para os profissionais de criptomoedas.