Coreia do Norte: BlueNoroff utiliza deepfakes de IA para disseminar malware em chamadas falsas do Zoom
Notícia | 19 de jun. de 2025 | 4 min
Em uma campanha sofisticada, executivos estão sendo enganados para instalar malware por meio de chamadas de vídeo geradas por IA, nas quais “chefes” falsos são criados por deepfakes. O ataque entrega um spyware persistente e customizado para Mac, direcionado a empresas do setor de criptomoedas.
Em uma nova campanha de engenharia social, o grupo norte-coreano BlueNoroff tem ludibriado executivos de empresas, fazendo com que estes baixem extensões falsas do Zoom que instalam um conjunto de malwares exclusivos para Mac. De acordo com a equipe de segurança cibernética da Huntress, o infame grupo APT – também conhecido como TA444, Sapphire Sleet e COPERNICIUM – utiliza deepfakes dos próprios líderes das vítimas para validar a farsa.
“Este ataque é um poderoso exemplo de como os agentes de ameaça estão evoluindo”, afirmou Randolf Barr, CISO da Cequence. “A utilização de deepfakes gerados por IA em chamadas de vídeo em tempo real, combinada com uma engenharia social personalizada, representa uma mudança significativa na sofisticação dos ataques cibernéticos.”
O ataque distribuiu uma variedade de malwares para macOS, incluindo ferramentas para roubo de informações, keyloggers e backdoors, apresentando técnicas avançadas, como monitoramento da área de transferência e execução de comandos sensíveis ao estado do modo de descanso, conforme constatou a Huntress.
Atraídos por um convite falso do Google Meet
Em um post no blog explicando o ataque do BlueNoroff, a Huntress relatou ter descoberto a intrusão em 11 de junho, após uma fundação de criptomoedas, parceira de segurança, relatar que um usuário final havia baixado uma extensão suspeita do Zoom. Ao implantar seu agente EDR, constatou-se que a infecção ocorrera semanas antes.
O acesso inicial ocorreu via Telegram, onde a vítima recebeu um convite para uma reunião aparentemente inofensivo. O invasor compartilhou um convite do Google Meet, hospedado no Calendly; entretanto, ao clicar, o usuário foi direcionado a um site falso do Zoom controlado pelo atacante. Quando a reunião teve início, o colaborador foi saudado por deepfakes gerados por IA de seus próprios superiores, que solicitavam a instalação de uma “extensão do Zoom” para resolver um problema no microfone.
Randolf Barr observa que os invasores elevaram significativamente o nível de sofisticação, o que dificulta a detecção. “Por anos, a indústria tem sustentado que ‘os usuários são o elo mais fraco', mas, em casos como este, essa alegação está ultrapassada e é injusta”, comentou. “Quando os atacantes utilizam a IA para imitar de forma convincente pessoas reais e os aplicativos parecem devidamente assinados e autenticados, não podemos esperar que, mesmo os usuários mais bem treinados, tomem sempre a decisão correta.”
Grupos de ameaças da Coreia do Norte já são conhecidos pela utilização de engenharia social, inclusive enganando candidatos a emprego para obter acesso a sistemas. Em uma de suas campanhas mais notórias, intitulada “Entrevistas Contagiosas”, os atacantes – como o grupo Kimsuky – se passaram por recrutadores oferecendo entrevistas de emprego falsas a profissionais. Durante essas chamadas, eram enviados arquivos infectados disfarçados de avaliações, permitindo o roubo de credenciais e o estabelecimento de acesso a longo prazo.
“Atribuímos com alta confiança que essa intrusão foi realizada pelo subgrupo APT norte-coreano, identificado como TA444, também conhecido como BlueNoroff – um agente de ameaça patrocinado pelo estado e conhecido por visar criptomoedas desde, pelo menos, 2017”, afirmaram os pesquisadores da Huntress.
Campanha entrega malware modular, persistente e específico para Mac
A equipe da Huntress recuperou um total de oito binários maliciosos distintos, cada um com funções específicas. O implante principal, denominado “Telegram 2”, foi escrito em Nim e se instalou como um LaunchDaemon no macOS, garantindo a persistência do malware. Ele atuava como plataforma para ferramentas complementares, como o backdoor “Root Troy V4”, desenvolvido em Go, e o “CryptoBot”, um ladrão de criptomoedas dedicado que vasculhava dados de carteiras em mais de 20 plugins do universo Web3.
O destaque do ataque, entretanto, é o “InjectWithDyId”, um carregador em C++ capaz de injetar processos no macOS – um feito raramente alcançado nesse nível de profundidade, conforme apontaram os pesquisadores. Esse loader descriptografa cargas úteis integradas utilizando AES-CFB, injetando-as em aplicativos benignos, como o “Base App”, desenvolvido em Swift. Além disso, para evitar a detecção pelo usuário, ele encapsula comandos em verificações do estado de descanso da tela, executando-os apenas quando o monitor está desligado.
Outros componentes importantes incluíam o XScreen, um keylogger com capacidade de capturar a tela e monitorar a área de transferência, e o NetChk, um binário de disfarce que executava loops infinitos para confundir a lista de processos do sistema. Cada implante era devidamente assinado e camuflado o suficiente para exfiltrar dados discretamente para servidores de comando e controle disfarçados de Zoom, MetaMask e outros com temáticas relacionadas a criptomoedas.
Para se manter à frente das ameaças, Barr recomendou investir em plataformas de gerenciamento de dispositivos móveis (MDM) que implementem o princípio do menor privilégio e impeçam acesso administrativo local ou instalações não autorizadas, além de soluções de EDR que ofereçam visibilidade em tempo real da atividade nos endpoints e alertem sobre comportamentos suspeitos.
“Defesas em camadas que combinem treinamento dos usuários com controles robustos em endpoints, rigor na aplicação de políticas e análises comportamentais não são opcionais – são essenciais”, concluiu.
