Hackers norte-coreanos usam chamadas maliciosas no Zoom para mirar usuários de criptomoedas no Telegram

Hackers norte-coreanos estão usando cada vez mais reuniões enganosas no Zoom para comprometer vítimas e roubar criptoativos, segundo a organização sem fins lucrativos de cibersegurança Security Alliance (SEAL).

Essas reuniões maliciosas no Zoom, que frequentemente têm como alvo figuras de alto nível das criptomoedas, tornaram-se uma ocorrência diária, alertou a equipe SEAL em uma postagem recente do X.

"A SEAL está rastreando múltiplas tentativas DIÁRIAS de atores norte-coreanos utilizando táticas de 'Fake Zoom' para espalhar malware, além de escalar seu acesso a novas vítimas. A engenharia social está na raiz do ataque", escreveu o grupo.

Em uma postagem separada publicada no mesmo dia, a pesquisadora de cibersegurança Taylor Monahan explicou que esse vetor de ataque já drenou mais de 300 milhões de dólares das carteiras de usuários desavisados.

Hackers norte-coreanos usam o Zoom para enviar scripts maliciosos

O golpe geralmente começa com pessoas mal-intencionadas entrando em contato por meio de uma conta do Telegram que pertence a alguém que a vítima conhece.

Como a conta é familiar, a vítima é enganada por uma falsa sensação de confiança e, eventualmente, atraída para uma conversa casual que leva a um convite para uma videochamada no Zoom.

Hackers então compartilham um link malicioso disfarçado para parecer um convite padrão do Zoom. Nessa página, as vítimas podem ver o que parece ser seu contato, junto com supostos colegas ou parceiros.

Segundo Monahan, esses não são deepfakes, mas sim vídeos reais gravados de ataques anteriores ou fontes públicas como podcasts.

Assim que a chamada começa, os hackers fingem ter problemas de áudio e convencem a vítima de que é necessário um patch para resolver o problema.

A vítima então recebe um arquivo para instalar, geralmente chamado de algo como "Zoom Update SDK.scpt", que executa código malicioso do AppleScript. Em outros casos, as vítimas são solicitadas a copiar e colar uma correção em seu terminal.

"A 'atualização' geralmente é um 'SDK.scpt' de Atualização do Zoom que abre ou roda em AppleScript. Há muitos espaços em branco para esconder o código malicioso. Em outros casos, você copia e cola a 'correção'. Diz que é bem-sucedido. Mas isso não resolve o problema. Então você eventualmente remarcou," explicou Monahan.

O que a vítima não percebe é que o malware já está ativo, pois o script malicioso infecta silenciosamente o sistema e começa a exfiltrar dados sensíveis, roubar senhas, wallets criptomoedas armazenados no navegador e até acesso total à conta do usuário no Telegram.

Como evitar perdas

Como medida pós-incidente, Monahan aconselha qualquer pessoa que tenha clicado em tal link ou aberto um arquivo suspeito a se desconectar imediatamente do Wi-Fi e desligar o dispositivo afetado.

Usando um dispositivo separado e não comprometido, as vítimas devem transferir seus ativos criptográficos para novas carteiras, alterar todas as credenciais de login e ativar a autenticação em dois fatores sempre que possível.

Ela também destacou a importância de bloquear as contas do Telegram, aconselhar os usuários a fazer login pelo telefone, acessar as configurações, encerrar todas as sessões ativas, exceto a atual, mudar a senha e habilitar a autenticação multifator.

Mais importante ainda, Monahan pediu às vítimas que alertassem seus contatos imediatamente, já que os atacantes frequentemente usam acesso a contas do Telegram para identificar e mirar a próxima leva de vítimas.

"Se eles invadirem seu telegrama, você precisa CONTAR PARA TODO MUNDO O MAIS RÁPIDO POSSÍVEL. Você está prestes [to] hackear seus amigos. Por favor, deixe seu orgulho de lado e GRITE sobre ele", acrescentou.

Um vetor de ataque recorrente

Hackers norte-coreanos, que se acredita estarem por trás de alguns dos maiores furtos de criptomoedas dos últimos anos, incluindo o ataque de US$ 1,5 bilhão à Bybit, têm usado cada vez mais essas táticas maliciosas do Zoom para infiltrar alvos de alto perfil ao longo de 2025.

Um desses casos, em setembro, envolveu o cofundador da THORChain, JP Thor, que teria perdido cerca de 1,3 milhão de dólares após cair em um golpe semelhante.

Um script malicioso acionado durante a chamada falsa no Zoom acessou seu armazenamento do iCloud, extraiu suas credenciais da carteira MetaMask e drenou fundos, tudo isso sem acionar nenhum aviso de segurança ou administrador.

Além das chamadas pelo Zoom, esses hackers até empregaram outros vetores de ataque complexos, como incorporar malware diretamente em contratos inteligentes do Ethereum e do BNB para sugar criptomoedas de forma discreta.