Cibergrupo explora listas de confiança para realizar ataques financeiros massivos

O grupo de cibercriminosos Lazarus está a adotar uma estratégia de ataque mais discreta e eficaz, centrada na exploração de fornecedores e parceiros já incluídos em listas de confiança das organizações. A nova abordagem permitiu ao grupo roubar cerca de 1,78 mil milhões de dólares entre julho de 2024 e fevereiro de 2025, segundo análises recentes do setor.

Ao contrário dos ataques tradicionais, que exploram vulnerabilidades de software para entrar nos sistemas, os atacantes procuram agora comprometer entidades externas consideradas seguras, como fornecedores de custódia, infraestruturas de carteiras digitais ou até colaboradores internos. Desta forma, em vez de contornarem as defesas diretamente, conseguem aceder aos sistemas através de canais já autorizados.

A própria transparência das redes blockchain acaba por facilitar este processo. A análise pública das transações permite aos atacantes identificar que serviços, protocolos DeFi ou infraestruturas de custódia são utilizados por determinadas instituições, ajudando a localizar o elo mais vulnerável da cadeia.

Neste contexto, as listas brancas (whitelists) — tradicionalmente consideradas um mecanismo robusto de proteção — estão a transformar-se num vetor de ataque. Ao comprometer uma entidade que já figura como confiável, os atacantes conseguem executar transações maliciosas que ultrapassam controlos estáticos, incluindo verificações de endereço ou sistemas de assinatura múltipla.

A Check Point Software alerta que este tipo de ataque evidencia a necessidade de rever estratégias de segurança baseadas apenas em listas de endereços aprovados. Segundo a empresa, os ataques recentes seguem um padrão claro que inclui reconhecimento da atividade na blockchain, comprometimento de terceiros e execução de operações através de acessos legítimos.

Embora mecanismos como whitelists, assinaturas multifator ou hardware wallets continuem a ser importantes, os especialistas sublinham que já não são suficientes face a adversários capazes de manipular interfaces, fornecedores e fluxos de assinatura.

Como medida adicional de proteção, os investigadores recomendam a simulação de transações em tempo real, permitindo validar não apenas o endereço de destino, mas também o impacto real da operação no saldo e na propriedade dos ativos antes de autorizar qualquer assinatura digital.