Image by DC Studio, from Unsplash
Hackers Usam Chamada Deepfake no Zoom para Invadir Empresa de Criptomoedas
Tempo de leitura: 2 minuto
Última atualização: Jun 21, 2025
-
![Kiara Fabbri]()
-
![Equipe de localização e tradução]()
Traduzido por Equipe de localização e tradução Serviços de localização e tradução
Hackers usaram uma chamada falsa do Zoom com deepfakes para invadir o sistema Mac de uma empresa de criptomoedas e roubar dados da carteira de criptomoedas.
Com pressa? Aqui estão os fatos rápidos:
- Hackers usaram deepfakes em uma falsa reunião no Zoom.
- A vítima foi enganada via Telegram e um link falso do Calendly.
- O malware visou o macOS com AppleScript e injeção de processo.
Huntress, uma empresa de cibersegurança, detectou um ataque cibernético avançado em 11 de junho de 2025, quando seu parceiro relatou atividade suspeita vinda de uma extensão do Zoom. Um grupo de hackers patrocinado pelo estado norte-coreano, conhecido como TA444, BlueNoroff ou Stardust Chollima, conduziu um ataque a uma fundação de criptomoedas através de videochamadas deepfake e malware personalizado para Mac.
O ataque começou semanas antes, quando um membro da equipe recebeu uma mensagem inesperada no Telegram que o levou a um link do Google Meet. O link redirecionou o usuário para um site falso do Zoom, onde ele participou mais tarde de uma reunião cheia de deepfakes. O sistema bloqueou o microfone dele, portanto, foi solicitado que ele baixasse uma extensão maliciosa do Zoom. O arquivo AppleScript ‘zoom_sdk_support.scpt’ parecia inofensivo, mas secretamente instalou malware em segundo plano.
O malware desativou o registro de histórico enquanto instalava o Rosetta 2 para compatibilidade de software, e então baixou ferramentas adicionais, que incluíam backdoors, keyloggers e ladrões de criptomoedas. Pesquisadores da Huntress detectaram oito arquivos maliciosos diferentes que visavam especificamente usuários do macOS por meio de técnicas avançadas de injeção de processos, que são incomuns para sistemas Apple.
Os principais componentes incluídos foram “Telegram 2”, um implante persistente que permitia acesso remoto; “Root Troy V4”, um backdoor completo; e “CryptoBot”, projetado para procurar e roubar dados de carteira criptografada de navegadores. Os hackers também usaram avatares deepfake para construir confiança e coletar senhas.
A empresa aconselha as organizações a terem cautela com convites urgentes para reuniões, mudanças de plataforma de última hora e solicitações para instalar extensões desconhecidas – especialmente de contatos desconhecidos.
História anterior
Artigos mais recentes 
