O Google Threat Intelligence Group (GTIG) revelou que o grupo de hackers norte-coreano UNC5342 está utilizando uma técnica inovadora chamada EtherHiding para realizar roubos em larga escala de criptomoedas. Essa técnica, que foi inicialmente associada a grupos motivados financeiramente, envolve a inserção de códigos maliciosos em contratos inteligentes de blockchains, como BNB Smart Chain e Ethereum, transformando esses registros descentralizados em servidores de comando e controle à prova de desativação.
Os atacantes atraem suas vítimas por meio de engenharia social, disfarçando-se como processos de recrutamento em empresas de tecnologia e criptomoedas. O ataque começa com entrevistas de emprego falsas que instalam o malware JADESNOW, que, por sua vez, utiliza EtherHiding para baixar e executar um segundo payload chamado INVISIBLEFERRET. Este último estabelece uma porta dos fundos no sistema da vítima, permitindo o roubo de dados sensíveis, como credenciais e informações de carteiras digitais.
A análise do GTIG destaca que a abordagem do UNC5342 demonstra um alto nível de sofisticação, utilizando múltiplas redes blockchain para maximizar a evasão e minimizar custos. A campanha evidencia uma tendência crescente de atores patrocinados por estados que abusam da infraestrutura descentralizada para garantir persistência e anonimato em suas operações.
Fonte: https://cyberpress.org/north-korean-hackers-3/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
17/10/2025 • Risco: ALTO
MALWARE
Hackers norte-coreanos utilizam EtherHiding em esquema sofisticado de roubo de criptomoedas
RESUMO EXECUTIVO
A técnica EtherHiding representa uma nova fronteira em malware, destacando a convergência entre tecnologias Web3 e crimes cibernéticos patrocinados por estados. A adoção dessa técnica por um ator estatal como UNC5342 pode resultar em perdas financeiras e compromissos de conformidade para empresas brasileiras que operam no setor de criptomoedas.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido ao roubo de criptomoedas e dados sensíveis.
Operacional
Roubo de dados sensíveis, incluindo credenciais e informações de carteiras digitais.
Setores vulneráveis
['Tecnologia', 'Finanças', 'Criptomoedas']
📊 INDICADORES CHAVE
Menos de $2 em taxas de gás para cada atualização de contrato malicioso.
Indicador
O grupo UNC5342 é o primeiro ator estatal a adotar a técnica EtherHiding.
Contexto BR
O malware INVISIBLEFERRET conecta-se a servidores MySQL controlados pelos atacantes.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há sinais de instalação de malware em sistemas que interagem com blockchains.
2
Implementar medidas de segurança adicionais para proteger sistemas contra engenharia social e ataques de malware.
3
Monitorar continuamente transações em blockchain e atividades suspeitas relacionadas a contratos inteligentes.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a crescente sofisticação de ataques que utilizam infraestrutura descentralizada, o que pode comprometer a segurança de dados sensíveis.
⚖️ COMPLIANCE
Implicações legais e de conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
