Um grupo de hackers e criminosos está explorando o Zoom, por meio de um malware, para aplicar golpes em usuários. As vítimas preferidas: a comunidade cripto. A reportagem foi originalmente publicada por Evgeniya Likhodey, no BeInCrypto Rússia.
A especulação sobre quem está por trás desses ataques ainda é incerta; porém, eles utilizam engenharia social e malwares para roubar ativos digitais. Segundo especialistas ouvidos pela reportagem, a suspeita recai sobre dois grupos: BlueNoroff/TA444 e SNE/Scamquerteo.
Enquanto o primeiro é uma subsidiária do Lazarus Group, especializada em roubo de criptomoedas, o segundo grupo é formado por uma equipe que vende kits de drenagem.
Como funciona o golpe no Zoom?
De fato, o esquema começa quando os invasores, se passando por contatos conhecidos, convidam a vítima para uma videochamada. Esse convite, um link falso, imita o convite do Zoom.
Durante a chamada, os grupos têm usado deepfakes de executivos das empresas associadas às vítimas. Nessa conversa, o “fake boss” alega problemas técnicos e solicita o download de uma extensão do Zoom, que na verdade é um malware disfarçado.
Esse malware, identificado como “zoom_sdk_support.scpt”, inicia abrindo uma página legítima do SDK do Zoom. Porém, após milhares de linhas em branco, executa um comando malicioso que baixa um payload secundário de um servidor controlado pelos atacantes.
O script desativa o histórico do bash, verifica e instala o Rosetta 2 se necessário, e cria um arquivo oculto chamado “.pwd” para armazenar dados sensíveis. De fato, isso pode incluir frases-semente e cookies de sessão de carteiras de criptomoedas.
Perdi as minhas criptos e agora?
As vítimas relatam que, mesmo após o roubo, os golpistas continuam a manter contato, zombando delas através de mensagens. Além de usuários anônimos, empresas inteiras foram alvo desses ataques, com casos conhecidos de fundos roubados de organizações como a Hypersphere Capital.
Além disso, a empresa de segurança cibernética Huntress identificou oito binários maliciosos distintos no sistema comprometido. Nesses malwares, inclui uma extensão persistente disfarçada de atualização do Telegram e um backdoor que permite execução remota de comando.
Também foram encontrados um keylogger que registra teclas e captura a tela, assim como um infostealer focado em criptomoedas que tem como alvo mais de 20 plataformas de carteiras. A junção desses componentes maliciosos funciona para exfiltrar dados e permitir o controle contínuo do sistema infectado.
Como se proteger de golpes criptos?
Enquanto as investigações continuam, especialistas aconselham exchanges e provedores de carteiras a monitorarem de perto os logins das contas e a revogarem quaisquer tokens de acesso suspeitos. A conscientização e a adoção de práticas de segurança robustas ajudam a mitigar os riscos associados a esses ataques sofisticados.
Para se proteger, o usuário deve verificar cuidadosamente os domínios de links recebidos, evitar instalar softwares durante chamadas de vídeo e utilizar ambientes separados para atividades sensíveis.
Outra dica importante é armazenar as criptomoedas em carteiras frias, o que dificulta o acesso à rede por invasores e criminosos. Além disso, ativar a autenticação de dois fatores em aplicativos de mensagens pode reduzir o risco de invasões que iniciam ataques de phishing.
| O que fazer para se proteger? | Por que isso é importante? |
|---|---|
| Verifique o domínio: Você precisa ter certeza de que está sendo convidado para o Zoom e não para uma plataforma falsa. | As URLs falsas geralmente estão disfarçadas como um subdomínio. |
| Nunca instale “patches” durante uma ligação: Se alguém tentar convencê-lo a instalar algum software com urgência, ignore a solicitação. | O Zoom legítimo só é atualizado a partir do cliente. |
| Ambientes separados: Um navegador comum para e-mails e chamadas e, um ambiente separado para trabalhar com carteiras. Melhor ainda se poder usar outro PC. | Há a redução do risco de roubo cruzado de cookies e frases-semente. |
| Armazene suas criptomoedas em carteiras frias: Dessa forma, golpistas não terão acesso aos seus ativos. | Mesmo que o sistema operacional esteja comprometido, o invasor não assinará a transação. |
| Use autenticação de dois fatores em aplicativos. | Reduz a chance de invasão que dá início ao phishing. |
Isenção de responsabilidade
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
