Hackers Norte-Coreanos Exploram Recurso do Zoom para Roubar Milhões em Cripto-Moedas
Uma nova e preocupante campanha de crimes cibernéticos está mirando traders e investidores de cripto-moedas, usando a conhecida plataforma de videoconferência Zoom como vetor de ataque. Relatórios da organização sem fins lucrativos Security Alliance (SEAL) e da empresa de segurança cibernética Trail of Bits expuseram uma operação ardilosa orquestrada por hackers norte-coreanos, conhecidos por seus ataques implacáveis ao setor de cripto-moedas. Esta campanha, apelidada de "Elusive Comet", revela o quão sofisticadas as ameaças de engenharia social se tornaram — e como ferramentas empresariais cotidianas podem se tornar armas nas mãos erradas.
Índice
Uma Isca de Phishing Disfarçada como uma Oportunidade de Negócios
A abordagem dos invasores é convincente e sutil. Fazendo-se passar por capitalistas de risco ou apresentadores de podcast, esses hackers inicialmente entram em contato com o que parece ser uma proposta de negócio legítima. As vítimas são frequentemente contatadas por meio de links do Calendly, convidando-as a agendar uma reunião no Zoom para discutir um suposto investimento ou uma participação em um podcast. A comunicação inicial é projetada para parecer uma oportunidade e não uma ameaça, diminuindo as defesas da vítima e criando um senso de urgência ao adiar os detalhes da reunião para o último minuto.
Assim que a vítima entra na chamada agendada do Zoom, os invasores agem. Solicitam que a vítima compartilhe sua tela — um pedido comum em conversas de negócios. Mas, aproveitando o recurso de Controle Remoto do Zoom, os hackers solicitam o controle do computador da vítima. Uma manobra enganosa torna essa solicitação ainda mais perigosa: os invasores alteram o nome de exibição do Zoom para "Zoom", disfarçando a caixa de diálogo de permissão para parecer uma notificação de sistema padrão e inofensiva.
Um Clique para o Compromisso Total
Este único clique pode entregar o controle total do mouse e do teclado da vítima. Os invasores rapidamente implantam malware infostealer ou trojans de acesso remoto (RATs) que vasculham a máquina em busca de sessões do navegador, senhas salvas, frases-chave de carteiras de cripto-moedas e outras informações confidenciais. Os registros do SEAL atribuem "milhões de dólares" em fundos roubados a essas táticas, observando que os criminosos se baseiam em uma rede de perfis falsos em redes sociais e sites sofisticados para dar credibilidade à sua estratégia.
A Trail of Bits foi vítima do ataque em primeira mão. O CEO da empresa recebeu mensagens de perfis do X (antigo Twitter) que alegavam ser produtores da Bloomberg, insistindo em uma entrevista de última hora no Zoom sobre cripto-moedas. Em uma análise mais detalhada, os links das reuniões do Zoom levaram a contas de consumidores, e não a contas corporativas legítimas. Os invasores se recusaram consistentemente a se comunicar por e-mail, insistindo no Zoom, onde poderiam lançar sua exploração.
Um Recurso Defeituoso que Se Tornou um Vetor de Ataque
A raiz do ataque é o recurso de Controle Remoto do Zoom, projetado para trabalho colaborativo, mas que pode ser usado de forma abusiva se os usuários não estiverem atentos. Embora os hosts possam desativar essa função no nível da conta, do grupo ou do usuário, ela costuma ser deixada ativada por padrão nas configurações corporativas. A caixa de diálogo de permissão não possui nenhuma marca distintiva para indicar uma solicitação de terceiros, facilitando o engano dos usuários por uma mensagem aparentemente rotineira.
A Trail of Bits alerta que esse tipo de ataque é particularmente eficaz porque se baseia no comportamento humano, não em bugs de software. Muitos profissionais estão acostumados a aprovar notificações do Zoom rapidamente, e os invasores exploram essa familiaridade para contornar até mesmo as defesas de usuários experientes. A empresa traça uma ligação direta entre essa campanha e incidentes recentes de grande repercussão, como o hack de US$ 1,5 bilhão da Bybit, que também se baseou na manipulação de fluxos de trabalho legítimos em vez da exploração de vulnerabilidades de código.
Protegendo-se contra a Ameaça Elusiva do Comet
A implicação mais ampla é preocupante: à medida que a indústria de blockchain amadurece, os invasores estão mudando seu foco de explorações técnicas para vulnerabilidades humanas. A segurança operacional — proteger os processos e decisões dos usuários — tornou-se tão importante quanto a defesa contra falhas de software.
Em resposta, a Trail of Bits tomou medidas drásticas, desativando o recurso de controle remoto do Zoom e bloqueando as permissões de acessibilidade que possibilitam tais ataques, sem interferir no uso normal de videoconferências. A organização insta organizações e indivíduos do setor de cripto-moedas a fazerem o mesmo, revisando suas configurações do Zoom e educando os usuários sobre os perigos de aceitar cegamente solicitações de compartilhamento de tela e controle remoto.
Com milhões já perdidos e os invasores continuando a refinar seus métodos, a mensagem é clara: nunca trate ferramentas de videoconferência como isentas de riscos. Se você negocia, investe ou trabalha no setor de cripto-moedas, pense duas vezes antes de aceitar solicitações de reunião inesperadas — e nunca aprove um prompt de controle remoto sem ter absoluta certeza de sua legitimidade. A ameaça pode parecer normal, mas os riscos nunca foram tão altos.