Os hackers atacaram especialistas em criptomoedas disfarçados de investidores de risco - ForkLog: criptomoedas, IA, singularidade, futuro

2026-03-03 12:09:44

# Os hackers atacaram especialistas em criptomoedas disfarçados de investidores de risco

Analistas da Moonlock Lab revelaram um ataque em grande escala a desenvolvedores Web3 e especialistas em criptomoedas. Os hackers se passam por investidores de risco e encontram vítimas no LinkedIn.

Os criminosos elogiam projetos dos especialistas e propõem colaboração. Depois, enviam links para videoconferências falsas que infectam os computadores com vírus.

Ilusão de negócio legal

Os atacantes criaram três fundos de criptomoedas fictícios: SolidBit Capital, MegaBit e Lumax Capital. Os sites das organizações parecem confiáveis. Lá, estão a história corporativa, portfólios de investimentos e lista de dirigentes. As imagens dos funcionários foram geradas por inteligência artificial.

Fonte: Moonlock Lab. Os fraudadores entram em contato com os especialistas por contas falsas. Eles se apresentam como altos executivos desses fundos. A conversa começa com elogios às conquistas profissionais da vítima.

Infecção via ClickFix

Os criminosos rapidamente transferem a conversa para aplicativos de mensagens e convidam para uma chamada de vídeo. A vítima recebe um link para o serviço Calendly. O endereço redireciona o usuário para uma cópia exata do site do Zoom, Google Meet ou outro serviço semelhante.

Na tela, aparece uma janela de verificação do Cloudflare. O sistema pede para marcar uma caixa e confirmar que o usuário não é um robô. Essa é uma técnica de hackers chamada ClickFix.

Ao clicar no botão, o código malicioso é copiado silenciosamente para a área de transferência. O site exibe uma instrução animada com um temporizador. O usuário é solicitado a abrir o terminal do sistema, colar o texto copiado e pressionar Enter.

O código reconhece automaticamente o sistema operacional:

no Windows: inicia um processo oculto diretamente na memória RAM. O vírus não salva arquivos no disco rígido, o que ajuda a evitar sistemas de proteção;
no macOS: o script verifica a presença do Python, baixa silenciosamente as bibliotecas necessárias e se enraíza no sistema.

Fonte: Moonlock Lab. Em alguns casos, os hackers enviaram às vítimas um aplicativo que copia completamente a interface do Zoom real no Mac. O programa imita a janela de login, coleta senhas e as envia para um bot no Telegram dos fraudadores.

Conexão com hackers norte-coreanos

Os endereços dos sites falsos estão registrados em nome de Anatoly Bigdash, de Boston, EUA. Especialistas duvidam da existência real dessa pessoa.

Fonte: Moonlock Lab. Os pesquisadores observaram coincidências na tática com os métodos do grupo UNC1069. Essa equipe hackeia projetos de criptomoedas desde 2018. Analistas da Mandiant já relacionaram esse grupo à Coreia do Norte. Os criminosos usam estruturas semelhantes de links maliciosos e cenários de engano por chamadas de vídeo falsas.

Para se proteger dos ataques, recomenda-se verificar as datas de registro dos domínios dos interlocutores. Serviços legítimos nunca solicitam que os usuários insiram comandos no terminal para confirmação de identidade ou início de transmissão. É possível detectar a armadilha ao clicar em links externos.

Lembramos que, em junho de 2025, o parceiro de investimentos da firma de risco Hypersphere, Mehdi Faruk, foi vítima de um ataque de phishing por meio de uma chamada falsa no Zoom.

Ver original

Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.