Falsos VCs Atacam Talentos Cripto em Campanha ClickFix

Uma campanha, suspeita de alinhamento com a Coreia do Norte, está mirando profissionais de criptoativos através de empresas de VC (Venture Capital) falsificadas, como SolidBit Capital, MegaBit e Lumax Capital, no LinkedIn. As vítimas são atraídas para páginas falsificadas de Zoom/Google Meet que instalam payloads ClickFix multiplataforma via um CAPTCHA falso da Cloudflare.

A cadeia de ataque emprega envenenamento de clipboard para injetar comandos específicos do sistema operacional, entregando loaders PowerShell sem arquivo no Windows e payloads Python multiestágio no macOS. Os binários Mach-O são totalmente indetectáveis, evadindo todos os fornecedores do VirusTotal. Profissionais de cripto e Web3 devem ter extrema cautela com abordagens não solicitadas no LinkedIn, verificar domínios de empresas via WHOIS e jamais colar comandos em um terminal como parte de qualquer processo de 'verificação'.