Hackers atacam pelo Zoom e enviam R$ 4,4 milhões em ETH para mixer

Recentemente, surgiu um novo tipo de ameaça no mercado cripto. Agora, hackers miram fundadores e executivos ligados a empresas do setor, em busca de dados sobre contas em exchanges e carteiras digitais.

Os hackers norte-coreanos do Lazarus Group continuam movimentando criptomoedas desviadas nas últimas invasões. No entanto, o grupo mudou a tática do golpe, direcionando as atividades para videochamadas através do Zoom.

Além disso, o grupo depositou 400 unidades de Ethereum (ETH) no popular mixer Tornado Cash. A empresa de segurança blockchain CertiK avisou sobre a movimentação suspeita na quinta-feira (13/03).

No total, o valor depositado em ETH vale quase US$ 760 mil, ou ainda R$ 4,4 milhões, considerando a cotação do Ethereum no mercado brasileiro. Atualmente, a criptomoeda é negociada por menos de R$ 11 mil através do par ETH/BRL.

A Certik alertou não haver sinais de que o grupo vá parar de vender o saldo desviado no mercado. “Fiquem atentos”, disse a empresa.

#CertiKInsight 🚨

We have detected deposit of 400 ETH in https://t.co/0lwPdz0OWi on Ethereum from:
0xdB31a812261d599A3fAe74Ac44b1A2d4e5d00901
0xB23D61CeE73b455536EF8F8f8A5BadDf8D5af848.

The fund traces to the Lazarus group's activity on the Bitcoin network.

Stay Vigilant! pic.twitter.com/IHwFwt5uQs

— CertiK Alert (@CertiKAlert) March 13, 2025

Hackers aterrorizam mercado cripto

O Lazarus é um grupo de hackers ligado a alguns dos ataques mais marcantes no mundo cripto. Isso inclui, por exemplo, a invasão da rede Ronin em 2022, que resultou na perda de US$ 624 milhões.

Mais recentemente, o grupo roubou US$ 1,4 bilhão em cripto no ataque à exchange Bybit. A invasão aconteceu em fevereiro de 2025, sendo considerado o maior roubo de criptomoedas da história.

Dessa forma, a comunidade cripto monitora de perto a movimentação desse saldo roubado no mês passado. Os hackers buscam formas de lavar as criptomoedas via mixer e exchanges descentralizadas (DEX).

Especialistas em segurança cibernética alertam que o Lazarus usa um malware de roubo de criptomoedas sofisticado. O software malicioso é inovador e está em constante evolução, visando desenvolvedores do mercado cripto.

Especificamente, há meses a Coreia do Norte tem atacado desenvolvedores por meio de invasões contra a cadeia de suprimentos NPM. O objetivo é roubar fundos e dados ao mesmo tempo.

Além disso, o malware tenta se infiltrar em carteiras de criptomoedas populares. Relatórios apontam MetaMask, Exodus e Atomic como alvos frequentes do grupo de hackers.

Invasores atacam pelo Zoom

Surgiu um novo tipo de ameaça no mercado, com foco em fundadores de empresas cripto e executivos. A invasão acontece por meio de chamadas falsas no Zoom, nas quais hackers roubam criptomoedas e dados de investidores.

Fazem isso ao simular verdadeiras reuniões de negócios. No entanto, alegam problemas técnicos durante a chamada.

Assim, os invasores exibem um “vídeo genérico de um investidor entediado” na tela. O grupo então pede que a vítima clique em um link para uma nova chamada falsa. Desse modo, através deste link os hackers instalam o malware.

Nick Bax, da Security Alliance, explicou que esse grupo já roubou “dezenas de milhões de dólares” com essa tática. Além disso, ele disse que outros hackers estão copiando a estratégia.

Having audio issues on your Zoom call? That's not a VC, it's North Korean hackers.

Fortunately, this founder realized what was going on.

The call starts with a few "VCs" on the call. They send messages in the chat saying they can't hear your audio, or suggesting there's an… pic.twitter.com/ZnW8Mtof4F

— Nick Bax.eth (@bax1337) March 11, 2025

Acredita-se que os hackers sejam norte-coreanos. Contudo, isso ainda não foi confirmado.

Grupos ligados à Coreia do Norte “se tornaram notórios por sua abordagem sofisticada e persistente”, segundo um relatório da Chainalysis.

Em 2024, eles roubaram US$ 1,34 bilhão em 47 ataques, o que representa 61% do total roubado no ano e 20% de todos os incidentes desse tipo no mercado cripto.

Giulio Xiloyannis, CEO da Pixelmon e cofundador da MON Protocol, compartilhou sua própria experiência recente. Ele também recebeu um link de Zoom projetado para instalar o malware.

Felizmente, Xiloyannis percebeu sinais suspeitos e os hackers falharam. “Havia indícios claros”, disse ele. “Abriu o Zoom no navegador sem perguntar se eu queria usar o aplicativo, pedindo para colar um código no meu ‘terminal’.”

Além dele, Melbin Thomas (fundador da Devdock AI), David Zhang (cofundador da Stably), Christoph Mussenbrock (cofundador da Etherisc) e vários outros relataram tentativas semelhantes de ataque.

Another day another North Korean scammer
This time using the same "fake Zoom" scam that's been popular recently
I'll detail what happened to me in this 🧵 pic.twitter.com/X5UZAKJjR0

— David Zhang (▲) (@dazhengzhang) March 12, 2025

Ataques contra criptomoedas deve continuar

Isso provavelmente não vai parar. A Chainalysis destacou que hackers norte-coreanos usam malware avançado, engenharia social e roubo de criptomoedas para financiar operações estatais e driblar sanções internacionais.

Além disso, Tom Robinson, cofundador da empresa de investigação cripto Elliptic, alertou que a Coreia do Norte é o país mais avançado quando se trata de lavar ativos digitais roubados.

Leia mais:

• Atenção: novas regras da Receita Federal para o Bitcoin no Imposto de Renda 2025
• Dubai aprova Ripple como primeira provedora de pagamentos blockchain licenciada
• Pi Network registra alta de 5% e token PI pode ir para US$ 10