A Check Point Software publicou uma análise detalhada sobre uma mudança crítica nas táticas de grupos avançados de ameaças (APT), especificamente o grupo Lazarus, da Coreia do Norte. Os cibercriminosos estão explorando a confiança inerente nas “listas brancas” (whitelists) das instituições financeiras para contornar medidas de segurança robustas, o que resultou no roubo de US$ 1,788 bilhão em apenas sete meses.
Diferentemente de invasões tradicionais que buscam vulnerabilidades no código, essa estratégia se baseia em comprometer fornecedores, parceiros ou infraestruturas confiáveis que já figuram nas listas de endereços aprovados das vítimas. Ao fazer isso, os atacantes herdam a legitimidade necessária para realizar transações maliciosas que passam por todos os controles estáticos de segurança.
Para um atacante com recursos estatais, a transparência da blockchain é um presente. Ao analisar padrões de transações públicas, o grupo Lazarus consegue mapear exatamente quais provedores de custódia, infraestruturas de carteiras ou protocolos DeFi uma instituição utiliza.
A lista branca deixa de ser uma barreira e passa a ser uma lista de alvos. Os atacantes comprometem o elo mais fraco da lista branca e utilizam a confiança preexistente para contornar todos os controles.
O modus operandi identificado nos ataques mais recentes (entre julho de 2024 a fevereiro de 2025) segue um padrão de três etapas, segundo os especialistas da Check Point Software:
- Reconhecimento: mapeamento de endereços e saldos na blockchain.
- Comprometimento de terceiros: identificação e ataque ao elo mais fraco da lista branca (um fornecedor ou um funcionário interno).
- Execução: uso do acesso confiável para drenar os fundos.
Os especialistas destacam três casos recentes em que essas táticas foram aplicadas, apesar da adoção de boas práticas do setor:
• Bybit (fevereiro de 2025 – US$ 1,5 bilhão): o atacante comprometeu a estação de trabalho de um desenvolvedor do fornecedor de infraestrutura Safe{Wallet}. Foi injetado um código malicioso na interface de usuário que, embora exibisse uma transferência rotineira, na realidade substituía o contrato da carteira por um outro controlado pelo atacante.
• WazirX (julho de 2024 – US$ 235 milhões): foram exploradas discrepâncias na interface do fornecedor de custódia Liminal. Os signatários aprovaram o que parecia ser uma transferência legítima, mas os dados reais na blockchain substituíram a implementação de assinaturas múltiplas (multisig) da vítima.
• Radiant Capital (outubro de 2024 – US$ 53 milhões): por meio de engenharia social no Telegram, o grupo Lazarus comprometeu três signatários internos. O malware realizou um ataque Man-in-the-Middle (MITM) que enganou dispositivos de hardware (Ledger/Trezor), levando os usuários a assinar “às cegas” a transferência de propriedade dos ativos.
Segundo a análise, medidas de segurança estáticas, como listas brancas, assinaturas múltiplas e carteiras de hardware, são necessárias, mas insuficientes diante desse nível de sofisticação. A Check Point Software recomenda simular transações em tempo real, ou seja, não basear a segurança no destino (o endereço), mas no resultado (o que exatamente mudará no saldo e na propriedade).
Além disso, a companhia aconselha o monitoramento contínuo on-chain para detectar sinais de alerta precoce, como o desenvolvimento de contratos maliciosos dias antes do ataque, e a implementação de uma infraestrutura separada que intercepte e valide cada transação antes que ela chegue à blockchain, rompendo a cadeia de manipulação da interface do usuário.
