Ameaça de Criptomoeda Ligada à Coreia do Norte: Google Mandiant Revela Campanha Avançada de Malware

A Mandiant, divisão de cibersegurança operando sob o Google Cloud, descobriu uma operação de ameaça que está a intensificar-se rapidamente, ligada à Coreia do Norte, que visa especificamente bolsas de criptomoedas e plataformas fintech. Esta descoberta marca uma expansão significativa das atividades maliciosas que os investigadores de segurança têm vindo a acompanhar desde 2018. O grupo de atores de ameaça, designado como UNC1069, representa uma das campanhas mais sofisticadas a ameaçar o panorama das notícias de criptomoedas, empregando ferramentas avançadas e técnicas de engano alimentadas por IA para comprometer empresas de ativos digitais.

Sete Famílias de Malware Desenvolvidas para Roubo de Dados

A investigação revelou uma intrusão altamente coordenada que resultou na implantação de sete famílias distintas de malware, cada uma com capacidades específicas de recolha de dados. Entre estas, três variantes recentemente identificadas têm chamado a atenção dos investigadores de segurança:

• SILENCELIFT: Um malware sofisticado projetado para estabelecer canais de comando e controlo persistentes
• DEEPBREATH: Malware avançado construído para contornar mecanismos de segurança críticos do sistema operativo e extrair informações sensíveis do host
• CHROMEPUSH: Uma ferramenta especificamente criada para exfiltrar credenciais e dados pessoais das vítimas, evitando sistemas de deteção

De acordo com o relatório detalhado da Mandiant, estas variantes de malware representam uma expansão deliberada das capacidades do grupo de ameaça, demonstrando técnicas avançadas de engenharia reversa e um profundo entendimento dos sistemas operativos Windows e macOS.

Deepfakes Gerados por IA e Engenharia Social ClickFix

O que torna esta campanha particularmente perigosa é a integração de inteligência artificial nas táticas de manipulação social. Os atores de ameaça comprometeram contas legítimas do Telegram e orquestraram reuniões falsas elaboradas no Zoom, apresentando vídeos deepfake gerados por IA de indivíduos de confiança. Esta técnica aumenta dramaticamente a taxa de sucesso de ataques de engenharia social direcionados a empresas de criptomoedas.

A campanha também utilizou uma técnica conhecida como ataques ClickFix, onde as vítimas são manipuladas para executar comandos ocultos no sistema através de interações aparentemente legítimas. Esta abordagem contorna a formação tradicional de sensibilização de segurança e explora a psicologia humana, em vez de vulnerabilidades técnicas.

Implicações para a Indústria de Criptomoedas

O alvo de empresas de criptomoedas e fintechs indica que atores ligados à Coreia do Norte continuam a priorizar o roubo de ativos digitais como objetivo principal. Isto representa uma ameaça direta aos utilizadores de bolsas, plataformas de negociação e fornecedores de infraestrutura blockchain em todo o mundo.

As equipas de segurança que gerem plataformas de criptomoedas devem imediatamente:

• Rever as políticas de proteção de endpoints contra ameaças persistentes avançadas
• Implementar autenticação multifator em todos os sistemas críticos
• Realizar formação de sensibilização de segurança focada em engenharia social alimentada por IA
• Monitorizar indicadores de compromisso associados às famílias de malware UNC1069

Esta ameaça em escalada sublinha a importância crítica de manter posturas de cibersegurança vigilantes no ecossistema de notícias de criptomoedas e de implementar estratégias de defesa em profundidade para proteger ativos digitais e dados de utilizadores contra atores de ameaça patrocinados por estados.