1. Os aplicativos falsos são integrados ao malware Realst, uma ferramenta de roubo de informações. Esses ataques têm como alvo dados confidenciais, incluindo identificadores de carteiras de criptomoedas. Espera-se que estas aplicações estejam ligadas à Coreia do Norte, tal como a exploração de 50 milhões de dólares da Radiant Capital. Enquanto isso, as autoridades fizeram alguns progressos com a prisão de Dmitry V., ex-diretor da WEX, uma bolsa de criptomoedas ligada a fraude e lavagem de dinheiro.



    Funcionários da Web3 ameaçados

  2. Profissionais da Web3 são alvo de uma campanha sofisticada de malware que usa aplicativos de reunião falsos para roubar informações confidenciais, incluindo credenciais de sites, aplicativos e carteiras de criptomoedas. De acordo com um relatório do Cado Security Labs, golpistas estão usando inteligência artificial para criar sites e perfis de mídia social com aparência legítima para empresas fraudulentas. 

  3. Essas plataformas são usadas para induzir alvos a baixar um aplicativo de reunião malicioso. O aplicativo era anteriormente chamado de "Meeten", mas agora se chama "Meeti" e muda seu nome de marca com frequência. Anteriormente, operava sob domínios como Clusee.com, Meeten.gg e Meetone.gg.

  4. O aplicativo contém malware Realst para roubo de informações, projetado para extrair informações críticas, incluindo IDs do Telegram, dados bancários e credenciais de carteira de criptomoedas, que são então enviadas aos invasores. O malware também pode coletar cookies do navegador, preencher automaticamente credenciais para navegadores da web como Google Chrome e Microsoft Edge e até mesmo acessar dados relacionados a carteiras de hardware como Ledger e Trezor, bem como carteiras Binance.

  5. A campanha também usa táticas de engenharia social, com golpistas às vezes se passando por contatos conhecidos para construir confiança. Em um caso, um alvo relatou ter sido abordado no Telegram por alguém se passando por um colega e recebido uma apresentação de investimento roubada de sua própria empresa. Outras vítimas relataram participar de chamadas relacionadas a projetos Web3, baixar o malware e, posteriormente, perder suas criptomoedas.

  6. Aplicativo de reunião falsa (Fonte: Cado Security)

  7. Para aumentar ainda mais sua credibilidade, os golpistas criaram sites corporativos cheios de blogs gerados por IA, descrições de produtos e contas de mídia social em plataformas como X e Medium. Esse uso de IA permite que eles produzam conteúdo muito convincente muito rapidamente, o que torna suas operações fraudulentas legítimas e mais difíceis de detectar. Em alguns casos, seus sites falsos incluem JavaScript capaz de roubar criptomoedas armazenadas em navegadores da web antes mesmo de o malware ser baixado.

  8. A campanha tem como alvo usuários de macOS e Windows e está ativa há quase quatro meses. Golpes semelhantes foram observados no setor de criptomoedas. O investigador ZackXBT descobriu um grupo de 21 desenvolvedores, supostamente norte-coreanos, trabalhando em projetos usando identidades falsas. Em setembro, o FBI também emitiu um alerta sobre hackers norte-coreanos que estavam implantando malware disfarçado de ofertas de emprego para atingir empresas de criptomoedas e plataformas financeiras descentralizadas.

    Grupo norte-coreano por trás da violação da Radiant Capital

  9. A Radiant Capital revelou que o hack de US$ 50 milhões em sua plataforma de finanças descentralizadas (DeFi) em outubro foi orquestrado por um hacker ligado à Coreia do Norte que se infiltrou na plataforma usando malware distribuído via Telegram. O invasor se passou por um ex-contratado de confiança e enviou um arquivo zip para um desenvolvedor da Radiant em 11 de setembro, sob o pretexto de solicitar feedback sobre um novo projeto. A empresa de segurança cibernética Mandiant, sob contrato com a Radiant, confirmou com grande confiança que o ataque foi realizado por um agente malicioso afiliado à República Popular Democrática da Coreia (RPDC).

  10. O arquivo zip malicioso parecia legítimo devido à sua frequência em ambientes empresariais e foi compartilhado entre desenvolvedores. Isso permitiu que o malware infectasse vários dispositivos. 

  11. Os invasores então assumiram o controle das chaves privadas e contratos inteligentes, forçando a Radiant a encerrar suas operações de empréstimo em 16 de outubro. O malware também falsificou o site legítimo do contratante, enganando ainda mais os desenvolvedores. Embora as verificações tradicionais e simulações de transações não tenham revelado irregularidades, os invasores manipularam a interface front-end para exibir dados de transações benignos enquanto executavam transações maliciosas em segundo plano.

  12. O agente da ameaça foi identificado como "UNC4736" ou "Citrine Sleet" e está associado ao Reconnaissance General Bureau da Coreia do Norte, podendo ser um subgrupo do infame grupo Lazarus. Após o ataque, US$ 52 milhões dos fundos roubados foram transferidos pelos hackers em 24 de outubro. De acordo com a Radiant, medidas de segurança ainda mais avançadas, incluindo carteiras de hardware, ferramentas de simulação como Tenderly e procedimentos operacionais padrão da indústria, não foram suficientes contra uma ameaça tão sofisticada.

  13. TVL radiante (Fonte: DefiLlama)

  14. Este incidente é o segundo grande comprometimento da Radiant neste ano e ocorre após uma exploração de empréstimo rápido de US$ 4,5 milhões em janeiro. Um ataque de empréstimo rápido de criptomoedas é um tipo de exploração em plataformas DeFi em que um invasor tira vantagem de empréstimos rápidos para manipular condições de mercado ou explorar vulnerabilidades em contratos inteligentes. 

  15. Empréstimos rápidos são empréstimos não garantidos que devem ser tomados e pagos em uma única transação de blockchain. Os invasores usam esses empréstimos para executar sequências complexas de ações que podem, por exemplo, manipular preços de ativos, enganar contratos inteligentes para liberar fundos ou drenar reservas de caixa. Como o empréstimo e o pagamento ocorrem quase instantaneamente, o invasor pode lucrar sem arriscar seu próprio capital. 

  16. A série de hacks afetou seriamente a reputação da plataforma, com seu valor total bloqueado caindo de mais de US$ 300 milhões no final do ano passado para apenas US$ 6,07 milhões em 9 de dezembro, de acordo com a DefiLlama.

    Autoridades polonesas prendem o ex-chefe da WEX, Dmitry V.

  17. Embora o criptocrime continue sendo um problema, as autoridades estão trabalhando duro para levar esses criminosos à justiça. Autoridades polonesas prenderam Dmitry V., ex-chefe da bolsa de criptomoedas russa WEX, em Varsóvia, após um pedido de extradição do Departamento de Justiça dos EUA. 

  18. O nome completo de Dmitry V. não foi divulgado devido às leis locais. Ele é acusado de fraude e lavagem de dinheiro durante seu mandato como CEO da WEX, a sucessora da BTC-e. A prisão foi confirmada por um porta-voz da polícia polonesa, que disse que Dmitry V. está sob custódia e aguardando procedimentos de extradição. Se extraditado para os Estados Unidos, ele poderá pegar uma pena máxima de prisão de 20 anos.

  19. Dmitry V. foi preso e solto em vários países. Em agosto de 2021, ele foi detido na Polônia, mas foi liberado após 40 dias. Ele foi preso novamente na Croácia em 2022 pela Interpol no aeroporto de Zagreb após um pedido de extradição do Cazaquistão. Em 2019, as autoridades italianas o prenderam, mas ele foi posteriormente liberado quando erros no pedido de extradição foram descobertos.

  20. A WEX entrou em colapso em 2018, deixando cerca de US$ 450 milhões não contabilizados. A plataforma era frequentemente descrita como uma exchange "obscura" e era conhecida por sua falta de verificação de identidade e seu envolvimento em lavagem de fundos de hacks de criptomoedas de alto perfil, incluindo a violação do Mt. Gox. No seu auge, o WEX processou mais de US$ 9 bilhões em transações de mais de um milhão de usuários, muitos deles nos Estados Unidos.

  21. Esta última prisão pela WEX ocorreu após os eventos envolvendo Alexander Vinnik, ex-diretor da BTC-e, antecessora da WEX. Vinnik foi apelidado de "Sr. Bitcoin" e se declarou culpado de conspiração para cometer lavagem de dinheiro por atividades entre 2011 e 2017. Ele foi preso na Grécia em 2017 e depois extraditado para os Estados Unidos em 2022, após cumprir dois anos em uma prisão francesa.#ScamRiskWarning

    #ScamAlert #Web3 #CryptoNewss