Hackers Norte-Coreanos Visam Cripto com Malware para Mac

A empresa de cibersegurança Huntress descobriu uma campanha de hacking altamente sofisticada que visa usuários de Mac no setor de criptomoedas, que utilizou chamadas de Zoom com deepfake, engenharia social inteligente e malware específico para Mac em uma operação incomumente sofisticada.

A Huntress começou a investigar a intrusão em 11 de junho de 2025, após um parceiro relatar atividade suspeita. O ataque foi atribuído ao grupo de hackers norte-coreano BlueNoroff (também conhecido como Sapphire Sleet ou TA444), que tem visado o setor de criptomoedas com campanhas motivadas financeiramente desde pelo menos 2017.

Os hackers visam especificamente usuários de macOS usando tecnologia de deepfake para se passar por executivos de empresas em reuniões falsas do Zoom para roubar criptomoedas.

Como Funciona o Golpe

Tudo começou quando um funcionário (alvo) de uma fundação de criptomoedas recebeu uma mensagem aparentemente inofensiva de um contato externo no Telegram solicitando uma reunião. O atacante compartilhou um link do Calendly que parecia agendar uma chamada do Google Meet, mas ao clicar, redirecionou o usuário para um domínio falso do Zoom controlado pelo ator da ameaça.

Várias semanas depois, o funcionário entrou em uma “reunião do Zoom” povoada por deepfakes imitando a alta liderança dentro de sua empresa, juntamente com contatos externos. Durante a reunião, o funcionário não conseguiu usar seu microfone, e os deepfakes instruíram-no a baixar uma “extensão do Zoom”. O link para essa extensão enviado a eles via Telegram acabou sendo um arquivo AppleScript malicioso (zoom_sdk_support.scpt) disfarçado como uma ferramenta de solução de problemas.

Uma vez baixado, o AppleScript primeiro abriu uma página da web legítima para SDKs do Zoom, mas após mais de 10.500 linhas em branco, baixou um payload de um site malicioso, https[://]support[.]us05web-zoom[.]biz, e o executou.

Quando a Huntress começou sua investigação, o payload final já havia sido removido do servidor do atacante. No entanto, eles conseguiram encontrar uma versão no VirusTotal que ofereceu informações valiosas sobre o que o malware foi projetado para fazer.

“O script começa desativando o registro de histórico do bash e então verifica se o Rosetta 2, que permite que Macs com Apple Silicon executem binários x86_64, está instalado”, explicaram os pesquisadores da Huntress em um post no blog na quarta-feira.

“Se não estiver, ele o instala silenciosamente para garantir que os payloads x86_64 possam ser executados. Em seguida, cria um arquivo chamado .pwd, que está oculto da visão do usuário devido ao ponto que o precede, e baixa o payload da página falsa do Zoom para /tmp/icloud_helper.”

Um Malware Personalizado e Específico para Mac

** Ao contrário do malware padrão, este ataque envolveu um kit de ferramentas personalizado com pelo menos oito componentes separados, todos especificamente adaptados para macOS. Eles eram:

• Telegram 2: O binário persistente, escrito em Nim, que era responsável por iniciar o backdoor principal.
• Root Troy V4 (remoted): Um backdoor completo escrito em Go, capaz de baixar e executar outras ferramentas maliciosas.
• InjectWithDyld (“a”): Um carregador binário em C++ baixado pelo Root Troy V4, responsável por descriptografar e carregar dois implantes adicionais.
• Base App: Um aplicativo Swift aparentemente inofensivo que serve como alvo de injeção para código malicioso.
• Payload: Um implante diferente escrito em Nim, projetado para executar comandos no sistema infectado.
• XScreen (keyboardd): Um poderoso keylogger escrito em Objective-C, capaz de capturar pressionamentos de tecla, conteúdo da área de transferência e atividade da tela.
• CryptoBot (airmond): Uma ferramenta baseada em Go projetada para coletar arquivos relacionados a criptomoedas da máquina da vítima.
• NetChk: Um binário de isca sem função significativa, que gerará números aleatórios para sempre, provavelmente incluído para ofuscação ou desvio.

Notavelmente, o malware usou truques inteligentes para evitar detecção, como executar comandos apenas quando o display do Mac estava adormecido. Foi cuidadosamente elaborado para contornar as camadas de segurança do macOS usando AppleScript e injeção de processos.

Alerta para Usuários de macOS

Historicamente, o macOS tem sido visto como um sistema operacional mais seguro, mas essa percepção está se tornando cada vez mais ultrapassada. À medida que mais empresas adotam Macs e o trabalho remoto se torna padrão, os atacantes estão se adaptando rapidamente.

“Nos últimos anos, vimos o macOS se tornar um alvo maior para atores de ameaças, especialmente em relação a atacantes altamente sofisticados e patrocinados pelo estado”, observaram os pesquisadores da Huntress. “À medida que esses ataques e a frequência com que ocorrem continuam a aumentar, será cada vez mais importante proteger seus Macs.”

Esta campanha deixa uma coisa clara: quando grupos apoiados pelo estado, como o BlueNoroff, estão envolvidos, mesmo uma chamada de vídeo nem sempre é o que parece.