Os hackers atacaram especialistas em criptomoedas disfarçados de investidores de risco - ForkLog: criptomoedas, IA, singularidade, futuro

# Os hackers atacaram especialistas em criptomoedas disfarçados de investidores de risco

Analistas da Moonlock Lab revelaram um ataque em grande escala a desenvolvedores Web3 e especialistas em criptomoedas. Os hackers se passam por investidores de risco e encontram vítimas no LinkedIn.

Os criminosos elogiam projetos dos especialistas e propõem colaboração. Depois, enviam links para videoconferências falsas que infectam os computadores com vírus.

Ilusão de negócio legal

Os atacantes criaram três fundos de criptomoedas fictícios: SolidBit Capital, MegaBit e Lumax Capital. Os sites das organizações parecem confiáveis. Lá, estão a história corporativa, portfólios de investimentos e lista de dirigentes. As imagens dos funcionários foram geradas por inteligência artificial.

Fonte: Moonlock Lab. Os fraudadores entram em contato com os especialistas por contas falsas. Eles se apresentam como altos executivos desses fundos. A conversa começa com elogios às conquistas profissionais da vítima.

Infecção via ClickFix

Os criminosos rapidamente transferem a conversa para aplicativos de mensagens e convidam para uma chamada de vídeo. A vítima recebe um link para o serviço Calendly. O endereço redireciona o usuário para uma cópia exata do site do Zoom, Google Meet ou outro serviço semelhante.

Na tela, aparece uma janela de verificação do Cloudflare. O sistema pede para marcar uma caixa e confirmar que o usuário não é um robô. Essa é uma técnica de hackers chamada ClickFix.

Ao clicar no botão, o código malicioso é copiado silenciosamente para a área de transferência. O site exibe uma instrução animada com um temporizador. O usuário é solicitado a abrir o terminal do sistema, colar o texto copiado e pressionar Enter.

O código reconhece automaticamente o sistema operacional:

• no Windows: inicia um processo oculto diretamente na memória RAM. O vírus não salva arquivos no disco rígido, o que ajuda a evitar sistemas de proteção;
• no macOS: o script verifica a presença do Python, baixa silenciosamente as bibliotecas necessárias e se enraíza no sistema.

Fonte: Moonlock Lab. Em alguns casos, os hackers enviaram às vítimas um aplicativo que copia completamente a interface do Zoom real no Mac. O programa imita a janela de login, coleta senhas e as envia para um bot no Telegram dos fraudadores.

Conexão com hackers norte-coreanos

Os endereços dos sites falsos estão registrados em nome de Anatoly Bigdash, de Boston, EUA. Especialistas duvidam da existência real dessa pessoa.

Fonte: Moonlock Lab. Os pesquisadores observaram coincidências na tática com os métodos do grupo UNC1069. Essa equipe hackeia projetos de criptomoedas desde 2018. Analistas da Mandiant já relacionaram esse grupo à Coreia do Norte. Os criminosos usam estruturas semelhantes de links maliciosos e cenários de engano por chamadas de vídeo falsas.

Para se proteger dos ataques, recomenda-se verificar as datas de registro dos domínios dos interlocutores. Serviços legítimos nunca solicitam que os usuários insiram comandos no terminal para confirmação de identidade ou início de transmissão. É possível detectar a armadilha ao clicar em links externos.

Lembramos que, em junho de 2025, o parceiro de investimentos da firma de risco Hypersphere, Mehdi Faruk, foi vítima de um ataque de phishing por meio de uma chamada falsa no Zoom.