Ex-executivo da Animoca perde economias de vida em hack do Zoom vinculado ao Lazarus

Ex-executivo da Animoca teve suas carteiras de criptomoedas esvaziadas após baixar uma atualização falsa do Zoom durante um ataque de phishing ligado ao grupo de hackers norte-coreano Lazarus.

Mehdi Farooq, sócio de investimentos na Hypersphere e ex-executivo da Animoca Brands, revelou em uma publicação no X na quinta-feira que perdeu uma grande parte de suas economias de vida em um hack do Zoom vinculado ao grupo de hackers norte-coreano Lazarus.

O golpe começou quando Farooq recebeu uma mensagem no Telegram de Alex Lin, um conhecido profissional. Lin pediu para conversar, e Farooq compartilhou seu link do Calendly para agendar uma chamada.

No dia seguinte, pouco antes da reunião, Lin enviou outra mensagem, pedindo para mudar a chamada para o Zoom Business "por motivos de conformidade", explicando que um de seus investidores, Kent — que Farooq também conhecia — participaria.

A reunião no Zoom parecia legítima. Ambos os participantes estavam com as câmeras ligadas, mas não havia áudio. No chat do Zoom, disseram que estavam com problemas técnicos e pediram que Farooq atualizasse seu cliente do Zoom. Minutos após instalar a atualização falsa, seis de suas carteiras de criptomoedas foram esvaziadas.

Só depois Farooq percebeu que a conta de Lin havia sido hackeada. O esquema foi posteriormente vinculado ao Lazarus, um grupo de hackers patrocinado pelo Estado norte-coreano.

"Foi surreal e completamente invasivo. Mas no momento mais sombrio, hackers whitehat apareceram — completos estranhos oferecendo ajuda quando eu estava no meu pior. Descobri que fui comprometido por uma ameaça associada à Coreia do Norte conhecida como dangrouspassword", escreveu Farooq.

Este incidente ecoa uma tentativa recente de phishing direcionada ao cofundador da Manta Network, Kenny Li, que evitou por pouco um destino semelhante. Li relatou que os atacantes se passaram por contatos conhecidos durante uma chamada no Zoom, usaram feeds de vídeo falsos e insistiram no download de uma atualização suspeita do Zoom. Suspeitando de algo errado, Li sugeriu mudar para outra plataforma de comunicação, o que fez os atacantes bloqueá-lo e apagar as mensagens.

Analistas de segurança afirmam que esse vetor de ataque — onde hackers se passam por contatos confiáveis, simulam problemas técnicos e empurram malware disfarçado de atualizações do Zoom — é uma marca registrada das operações do Lazarus e tem sido usado repetidamente para roubar milhões em criptomoedas.

Outros líderes da indústria de criptomoedas, incluindo fundadores do Mon Protocol, Stably e Devdock AI, relataram tentativas semelhantes de phishing, destacando o quão disseminados e direcionados esses ataques se tornaram.

Nick Bax, da Security Alliance, detalhou esse golpe em uma publicação no X em 11 de março.

Problemas de áudio na sua chamada do Zoom? Não é um VC, são hackers norte-coreanos. Felizmente, este fundador percebeu o que estava acontecendo. A chamada começa com alguns "VCs" na linha. Eles enviam mensagens no chat dizendo que não conseguem ouvir seu áudio, ou sugerindo que há um… pic.twitter.com/ZnW8Mtof4F

Traduzido por CardanoCrusader