Redação YTI&W-News
UNC1069: Ator de Ameaças Ligado à Coreia do Norte Utiliza Inteligência Artificial para Roubo de Dados de Criptomoedas
O ator de ameaças conhecido como UNC1069, ligado à Coreia do Norte, foi observado alvoando o setor de criptomoedas para roubar dados sensíveis de sistemas Windows e macOS com o objetivo final de facilitar o roubo financeiro.
“A intrusão se baseou em um esquema de engenharia social envolvendo uma conta de Telegram comprometida, uma reunião falsa no Zoom, um vetor de infecção ClickFix e o uso relatado de vídeo gerado por inteligência artificial para enganar o vítima,” disseram os pesquisadores da Google Mandiant, Ross Inman e Adrian Hernandez.
UNC1069, avaliado como ativo desde pelo menos abril de 2018, tem uma história de conduzir campanhas de engenharia social para ganho financeiro usando convites de reunião falsos e se passando por investidores de empresas reputadas no Telegram.
Em um relatório publicado em novembro, o Google Threat Intelligence Group (GTIG) destacou o uso do ator de ameaças de ferramentas de inteligência artificial gerativa, como Gemini, para produzir material de atração e mensagens relacionadas a criptomoedas como parte de esforços para apoiar suas campanhas de engenharia social.
O grupo também foi observado tentando abusar do Gemmini para desenvolver código para roubar criptomoedas, bem como explorar imagens e vídeos de deepfake que imitam indivíduos da indústria de criptomoedas em suas campanhas para distribuir um backdoor chamado BIGMACHO para as vítimas, apresentando-o como um kit de desenvolvimento de software (SDK) do Zoom.
Desde pelo menos 2023, o grupo se deslocou de técnicas de spear-phishing e alvos tradicionais (TradFi) para a indústria Web3, como exchanges centralizadas (CEX), desenvolvedores de software em instituições financeiras, empresas de alta tecnologia e indivíduos em fundos de capital de risco, disse a Google.
No mais recente intrusão documentado pela divisão de inteligência de ameaças da empresa, o UNC1069 é dito ter implantado até sete famílias únicas de malware, incluindo várias famílias de malware novas, como SILENCELIFT, DEEPBREATH e CHROMEPUSH.
Modus Operandi
- O ator de ameaças se aproxima da vítima via Telegram, se passando por investidores de empresas reputadas e, em alguns casos, até mesmo usando contas comprometidas de empreendedores e fundadores de startups legítimos.
- Uma vez estabelecida a conexão, o ator de ameaças usa Calendly para agendar uma reunião de 30 minutos com a vítima.
- O link de reunião é projetado para redirecionar a vítima para um site falso que imita o Zoom.
- Em alguns casos, os links de reunião são compartilhados diretamente por mensagens no Telegram, frequentemente usando a característica de hiperligação do Telegram para esconder as URLs de phishing.
- Independentemente do método usado, assim que a vítima clica no link, ela é apresentada a uma interface de vídeo de chamada falso que imita o Zoom, instando-a a habilitar sua câmera e inserir seu nome.
- Uma vez que a vítima se junta à reunião, ela é exibida uma tela que se assemelha a uma reunião real no Zoom.
- No entanto, é suspeitado que os vídeos sejam deepfakes ou gravações reais capturadas furtivamente de outras vítimas que haviam caído na mesma armadilha anteriormente.
- É importante notar que a Kaspersky está rastreando a mesma campanha sob o nome GhostCall, que foi documentada em detalhes em outubro de 2025.
Malware Implantado
- WAVESHAPER: um executável C++ malicioso projetado para coletar informações do sistema e distribuir um downloader Go chamado HYPERCALL.
- HYPERCALL: um componente de backdoor Go que fornece acesso de teclado às vítimas e implanta um minerador de dados Swift chamado DEEPBREATH.
- DEEPBREATH: um minerador de dados Swift que manipula o banco de dados de Transparência, Consentimento e Controle (TCC) do macOS para obter acesso ao sistema de arquivos, permitindo que ele roube credenciais do iCloud Keychain, dados de Google Chrome, Brave e Microsoft Edge, Telegram e a aplicação de notas do Apple.
- CHROMEPUSH: um data stealer C++ que é implantado como uma extensão do navegador Google Chrome e Brave, apresentando-se como uma ferramenta para editar o Google.
- SILENCELIFT: um backdoor C/C++ minimalista que envia informações do sistema para um servidor de comando e controle (C2).
Fontes: The Hacker News. Curadoria e Insights: Redação YTI&W.
Redação YTI&W-News
Cobertura das últimas notícias do universo da Segurança da Informação e lançamentos de soluções em TI.
- Google Relata que Estado-Sustentados Hackers Usam Técnicas de Inteligência Artificial para Ataques Cibernéticos 12 de Fevereiro, 2026
- Avaliação Técnica: 83% dos Exploits de Ivanti EPMM Vêm de uma Única IP 12 de Fevereiro, 2026
- Dossiê Técnico: Primeiro Adicionais Maliciosos do Outlook Detectados no Mundo 11 de Fevereiro, 2026
- APT36 e SideCopy Lançam Campanhas Cruzadas para Comprometer Ambientes Windows e Linux 11 de Fevereiro, 2026
- Operativos da Coreia do Norte Impersonam Profissionais de Tecnologia para Obter Empregos Remotos 10 de Fevereiro, 2026
