Como os hackers usam deepfakes de IA para ataques a profissionais de criptomoedas

Cibercriminosos ligados à Coreia do Norte intensificaram significativamente a sua campanha contra participantes da indústria de criptomoedas, utilizando as mais recentes tecnologias de síntese de vídeo. Segundo relatórios de empresas de investigação, esses hackers enviam chamadas de vídeo às vítimas, usando deepfakes gerados por IA de rostos familiares ou de pessoas em quem confiam. O objetivo é simples, mas eficaz: convencer a vítima a instalar software malicioso disfarçado de aplicação inofensiva.

Métodos de engenharia social: desde a comprometimento até à infecção

O mecanismo do ataque envolve várias etapas. Inicialmente, os hackers comprometem contas em aplicações de mensagens populares, incluindo o Telegram. Depois, iniciam uma chamada de vídeo que parece ser feita por uma pessoa conhecida, mas na realidade, a vítima está a ver uma imagem sintética.

Martín Kucharz, cofundador da conferência BTC Prague, revelou detalhes de um dos incidentes. O atacante persuadiu a vítima a descarregar uma extensão de software supostamente para corrigir problemas de áudio no Zoom. No entanto, sob a aparência de um plugin útil, escondia-se um malware que dava aos criminosos controlo total sobre o dispositivo comprometido. Isto demonstra mais uma vez que até profissionais podem ser vítimas de ataques cuidadosamente preparados.

Anatomia do malware: infecções multicamadas no macOS

A empresa de investigação Huntress identificou que os scripts maliciosos entregues pelos hackers demonstram uma complexidade elevada. Ao chegarem aos dispositivos macOS, são capazes de infetar de forma multinível, incluindo a ativação de backdoors, monitorização de pressionamentos de teclas e interceptação do conteúdo do clipboard. Além disso, esses programas visam carteiras digitais e podem aceder a ativos encriptados do utilizador.

Analistas com alta confiança atribuíram esses ciberataques ao grupo Lazarus Group, também conhecido como BlueNoroff. Trata-se de um grupo de hackers estatal, financiado pela Coreia do Norte, especializado em operações direcionadas ao setor de criptomoedas.

Porque os deepfakes por IA tornam a verificação de autenticidade impossível

Especialistas em segurança de blockchain da SlowMist apontam uma tendência: os hackers reutilizam constantemente metodologias comprovadas nas suas operações, adaptando-as a carteiras específicas e a profissionais de criptomoedas. Com a disseminação das tecnologias de criação de vídeos sintéticos e clonagem de voz, os métodos tradicionais de verificação por vídeo tornam-se pouco confiáveis.

Antes, uma chamada de vídeo com uma pessoa era considerada uma garantia suficiente da sua autenticidade. Hoje, essa suposição já não funciona. Os hackers podem sintetizar não só o rosto, mas também a expressão facial, a entonação e as maneiras de falar específicas de uma pessoa. A vítima vê uma pessoa real, mas na verdade trata-se de uma construção computacional.

Reforço da proteção: estratégia multicamadas para a comunidade de criptomoedas

Tendo em conta a escala e sofisticação dos ataques atuais, a indústria de criptomoedas deve passar a protocolos de proteção mais rigorosos. O primeiro nível é a ativação de autenticação multifator em todas as contas críticas. O segundo é o uso de chaves de segurança físicas em vez de métodos de confirmação baseados em software.

Além disso, as organizações devem treinar os seus funcionários e parceiros nas regras básicas: nunca clicar em links de chamadas de vídeo inesperadas, independentemente de quem esteja a ligar; solicitar confirmação de identidade por canais alternativos antes de instalar qualquer software; verificar regularmente a lista de extensões instaladas nos navegadores e aplicações de mensagens.

A ameaça cibernética de hackers estatais não desaparecerá até que ocorram consequências sérias. A comunidade de criptomoedas deve manter-se em estado de alerta elevado, adaptando continuamente os seus sistemas às novas metodologias de ataque, que são constantemente aperfeiçoadas por grupos criminosos como o Lazarus Group.