Hackers Exploram a Radiant Capital com Malware, $50M Roubados em Assalto

Um PDF infectado por malware enviado para os engenheiros da Radiant Capital permitiu que hackers norte-coreanos roubassem mais de $50 milhões.

Em um recente relatório de acompanhamento sobre a violação, a Radiant, auxiliada pela Mandiant, revelou mais detalhes. No dia 11 de setembro de 2024, um desenvolvedor da Radiant recebeu uma mensagem no Telegram de um ex-contratado que estava se passando por outra pessoa.

A mensagem, supostamente de um ex-contratante, incluía um link para um PDF compactado. Alegadamente relacionado a um novo projeto de auditoria de contrato inteligente, o documento buscava feedback profissional.

O domínio associado ao arquivo ZIP imitava de forma convincente o site legítimo do contratante, e o pedido parecia rotineiro em círculos profissionais. Desenvolvedores trocam frequentemente PDFs para tarefas como revisões legais ou auditorias técnicas, reduzindo a suspeita inicial.

Confiando na fonte, o destinatário compartilhou o arquivo com colegas, preparando inadvertidamente o cenário para o roubo cibernético.

Sem que a equipe Radiant soubesse, o arquivo ZIP continha o INLETDRIFT, um malware avançado para macOS disfarçado dentro do documento “legítimo”. Uma vez ativado, o malware estabeleceu um backdoor persistente, usando um AppleScript malicioso.

O design do malware era sofisticado, exibindo um convincente PDF aos usuários enquanto operava de maneira furtiva em segundo plano.

Apesar das rigorosas práticas de cibersegurança da Radiant – incluindo simulações de transações, verificação de carga útil e aderência aos procedimentos operacionais padrão da indústria (SOPs) – o malware conseguiu infiltrar e comprometer vários dispositivos de desenvolvedores.

Os invasores exploraram a assinatura cega e interfaces front-end falsificadas, exibindo dados de transações benignas para mascarar atividades maliciosas. Como resultado, transações fraudulentas foram executadas sem detecção.

Na preparação para o roubo, os invasores organizaram contratos inteligentes maliciosos em várias plataformas, incluindo Arbitrum, Binance Smart Chain, Base e Ethereum. Apenas três minutos após o roubo, eles apagaram vestígios de sua porta dos fundos e extensões de navegador.

O assalto foi executado com precisão: apenas três minutos após a transferência dos fundos roubados, os atacantes apagaram vestígios de seu backdoor e extensões de navegador associadas, complicando ainda mais a análise forense.

A Mandiant atribui o ataque ao UNC4736, também conhecido como AppleJeus ou Citrine Sleet, um grupo ligado ao Reconnaissance General Bureau (RGB) da Coreia do Norte. Este incidente destaca as vulnerabilidades na assinatura cega e nas verificações de front-end, enfatizando a necessidade urgente de soluções em nível de hardware para validar as cargas de transação.

A Radiant está colaborando com as autoridades policiais dos EUA, Mandiant e zeroShadow para congelar ativos roubados. O DAO permanece comprometido em apoiar esforços de recuperação e compartilhar conhecimentos para melhorar os padrões de segurança em toda a indústria.