- Mandiant relata UNC1069 usando Telegram comprometido, chamadas falsas de Zoom e vídeos falsos
- As vítimas instalaram um conjunto de malware, incluindo WAVESHAPER, HYPERCALL e SUGARLOADER.
- Atores norte-coreanos têm como alvo empresas de criptografia, após campanhas de roubo ligadas ao Estado, como Lazarus e TraderTraitor.
Os cibercriminosos norte-coreanos parecem estar melhorando seu jogo, com novos relatórios da Mandiant dizendo que os hackers estão usando uma combinação de contas comprometidas do Telegram, chamadas falsas do Zoom, vídeos falsos e meia dúzia de tipos de malware.
Este malware foi aparentemente usado contra organizações do setor de criptomoedas com o objetivo de roubar suas pilhas de criptomoedas.
Em seu relatório, a Mandiant disse ter visto um grupo rastreado como UNC1069 usando esta técnica avançada. O ataque começa com uma conta comprometida do Telegram de um CEO ou executivo de alto escalão semelhante. A conta é então usada para iniciar uma conversa com a vítima e, após algumas idas e vindas, convidá-la para uma chamada Zoom.
Ataque mal sucedido
Mas a chamada não é legítima. Esta é uma reunião falsa do Zoom na infraestrutura do ator da ameaça – zoom(.)uswe05(.)nós. Na ligação, as vítimas veem um vídeo falso se passando pelo CEO, que diz que o áudio da vítima não está funcionando e que elas deveriam consertar.
Finalmente, no estilo tradicional do ClickFix, as vítimas recebem uma solução que, em vez de “consertar” um erro inexistente, implanta um conjunto completo de malware: WAVESHAPER, HYPERCALL, HIDENCALL, SUGARLOADER, SILENCELIFT, DEEPBREATH e CHROMEPUSH.
Juntas, essas ferramentas formam uma cadeia de infecção em vários estágios que permite persistência, coleta de credenciais, roubo de dados do navegador e acesso de longo prazo.
UNC1069 não é um ator de ameaça bem conhecido. No entanto, como UNC significa Sem categoria (ou Não classificado), isso pode significar que um ator de ameaça observado anteriormente alterou sua infraestrutura ou técnica e ainda não foi devidamente designado.
Os atores norte-coreanos são famosos por visar empresas de criptografia. Alguns dos maiores roubos foram atribuídos a grupos patrocinados pelo Estado, como o Lazarus, e estes colectivos são frequentemente responsáveis pelo roubo de criptografia, que o país utiliza para financiar o seu programa de armas e o aparelho estatal.
O maior roubo de criptomoeda já registrado foi o hack em 21 de fevereiro de 2025 da exchange Bybit, com sede em Dubai, onde 1,5 bilhão de ativos relacionados ao Ether foram roubados de uma carteira fria. Analistas e autoridades policiais vincularam o ataque a grupos cibercriminosos ligados ao estado norte-coreano, incluindo o Grupo Lazarus e o TraderTraitor.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
