# SnatchCrypto Campaign > [!critical] BlueNoroff monitora vitimas por meses antes de substituir extensoes de carteira cripto por versoes maliciosas em momento critico de transação > O **SnatchCrypto** e a designacao dada pela Kaspersky a uma campanha de longa duracao do subgrupo [[g0124-bluenoroff|BlueNoroff]] do [[g0032-lazarus-group|Lazarus Group]] (Coreia do Norte), ativa desde pelo menos 2017, que visa empresas de criptomoeda, DeFi, blockchain e fintech. O diferencial tatico e o nivel de paciencia: o grupo monitora vitimas por semanas ou meses via keylogger e captura de tela, mapeando habitos operacionais, antes de substituir no momento exato de uma transação de alto valor a extensao legitima de gerenciamento de carteira cripto por uma versao maliciosa - silenciosamente alterando o endereco de destino da transação. ## Visão Geral A **SnatchCrypto Campaign** representa a faceta mais cirurgica da estratégia de roubo de criptomoedas da Coreia do Norte. Enquanto o [[g0032-lazarus-group|Lazarus Group]] e mundialmente conhecido por ataques de alto impacto como o [[bybit-heist-2025|Bybit Heist de US$ 1,5 bilhao]] e o [[tradertraitor-campaign|TraderTraitor]], o SnatchCrypto e a campanha que desenvolveu e aperfeicoou as técnicas de espionagem prolongada e manipulação de carteira que sustentam esses grandes golpes. O [[g0124-bluenoroff|BlueNoroff]] e o subgrupo financeiro do Lazarus, originalmente focado em ataques SWIFT a bancos (Bangladesh Bank Heist, 2016). Com a crescente dificuldade de atacar sistemas SWIFT protegidos por regulação, o grupo pivotou para o ecossistema de criptomoedas a partir de 2017, onde a reversibilidade zero das transações blockchain e a menor maturidade de segurança das empresas-alvo criavam um ambiente propicio. O método SnatchCrypto e notavel por sua paciencia operacional: após o comprometimento inicial via spearphishing (documento Word ou arquivo ZIP malicioso), o grupo instala um keylogger e ferramenta de captura de tela discreta. Durante semanas ou meses, os operadores monitoram silenciosamente as operações da vitima - aprendendo rotinas de trabalho, identificando pessoas responsaveis por transações, mapeando carteiras e exchanges utilizadas. Quando identificam uma transação de alto valor iminente, substituem a extensao legItima de gerenciamento de carteira cripto do browser por uma versao maliciosa que silenciosamente altera o endereco de destino - o funcionario confirma a transação, mas os fundos vao para carteiras controladas pela Coreia do Norte. O Brasil tem exposicao crescente a esta campanha: com mais de 10 milhões de investidores em cripto e empresas como [[_mercado-bitcoin|Mercado Bitcoin]], Foxbit, e dezenas de fintechs blockchain ativas, profissionais brasileiros do setor sao alvos atrativos via LinkedIn e Telegram. ## Attack Flow ```mermaid graph TB A["Spearphishing inicial<br/>Documento Word ou ZIP com atalho<br/>enviado via email ou Telegram"] --> B["Execução de macro/VBScript<br/>PowerShell agent instalado<br/>Backdoor de primeiro estagio"] B --> C["Implante silencioso<br/>Keylogger + captura de tela<br/>Monitoramento por semanas/meses"] C --> D["Reconhecimento operacional<br/>Habitos de trabalho, carteiras,<br/>exchanges, volumes de transação"] D --> E["Identificação de transação alvo<br/>Alta valor iminente detectada<br/>Funcionario responsavel mapeado"] E --> F["Substituicao da extensao<br/>Extensao cripto legitima substituida<br/>por versao maliciosa no browser"] F --> G["Roubo no momento da transação<br/>Funcionario confirma - endereco<br/>alterado para carteira DPRK"] ``` ## Cronologia ```mermaid timeline title BlueNoroff SnatchCrypto - Evolução 2016 : BlueNoroff - Bangladesh Bank Heist SWIFT - US$ 81 milhoes 2017 : Pivot para criptomoedas - inicio do SnatchCrypto 2020 : Lazarus Group rouba US$ 300M em cripto (7 plataformas) 2021-01 : Kaspersky publica análise detalhada do SnatchCrypto 2021 : US$ 400M roubados em 7 ataques atribuidos ao Lazarus/BlueNoroff 2022 : Ronin Network - US$ 620M (operação TraderTraitor) 2022-04 : FBI/CISA publicam advisory AA22-108A sobre TraderTraitor 2023 : Operacoes SnatchCrypto e TraderTraitor operam em paralelo 2025-02 : Bybit Heist - US$ 1,5B - técnicas SnatchCrypto em escala ``` ## TTPs Utilizadas | Tática | Técnica | ID | Observacao | |--------|---------|-----|------------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Word maliciosos e ZIPs com atalhos | | Execution | PowerShell | [[t1059-001-powershell\|T1059.001]] | PowerShell agent como backdoor inicial | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Payloads encriptados, anti-análise de sandbox | | Credential Access | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Monitoramento prolongado de credenciais e seeds | | Collection | Screen Capture | [[t1113-screen-capture\|T1113]] | Monitoramento visual de operações de carteira | | Persistence | Browser Extensions | [[t1176-browser-extensions\|T1176]] | Substituicao de extensao MetaMask por versao maliciosa | | Defense Evasion | DLL Injection | [[t1055-001-dll-injection\|T1055.001]] | Injecao em processos legitimos do browser | ## Alvos e Escala A campanha SnatchCrypto mirou específicamente: - Startups de DeFi e blockchain (fases de crescimento com menos maturidade de segurança) - Empresas de FinTech com wallets proprietarias - Processadores de pagamento cripto - Plataformas de NFT e GameFi com grandes tesouros - Desenvolvedores e administradores de sistemas de exchanges Vitimas foram identificadas na Russia, Polonia, Slovenia, Ucrania, República Tcheca, China, India, EUA, Hong Kong, Singapura, EAU e Vietnam. O grupo roubou quase US$ 400 milhões em 2021 e mais de US$ 700 milhões em 2022 - principiamente via SnatchCrypto e [[tradertraitor-campaign|TraderTraitor]]. ## Relevância LATAM e Brasil O Brasil e um dos maiores mercados de criptomoeda da América Latina, com mais de 10 milhões de investidores registrados e ecossistema ativo de startups blockchain e DeFi. Empresas como [[_mercado-bitcoin|Mercado Bitcoin]] (maior exchange BR), Foxbit e dezenas de fintechs de pagamento cripto operam com perfil identico ao dos alvos historicos do SnatchCrypto. Desenvolvedores blockchain brasileiros sao alvos atrativos via spearphishing no LinkedIn com ofertas de emprego ou parcerias em projetos DeFi. ## Mitigação **Para empresas cripto e DeFi:** - Nunca instalar extensoes de browser de fontes nao verificadas - usar apenas lojas oficiais (Chrome Web Store) - Verificar integridade de extensoes instaladas regularmente - checar hash e permissoes - Usar hardware wallets (Ledger, Trezor) para transações acima de valores criticos - Implementar politica de dupla confirmacao para transações acima de threshold **Para profissionais do setor:** - Tratar documentos Word recebidos por email ou Telegram com extrema suspeita - Verificar ofertas de emprego via LinkedIn com múltiplas fontes antes de interagir - Usar maquina dedicada e isolada para operações de alto valor com cripto ## Referências - [1](https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/) Kaspersky Securelist - The BlueNoroff Cryptocurrency Hunt Is Still On (2022) - [2](https://www.kaspersky.com/about/press-releases/snatch-that-crypto-bluenoroff-threat-actor-drains-cryptocurrency-startups-accounts) Kaspersky - SnatchCrypto: BlueNoroff Drains Cryptocurrency Startups (2022) - [3](https://www.ic3.gov/CSA/2022/220418.pdf) FBI/CISA/Treasury - TraderTraitor Advisory AA22-108A (2022) - [4](https://thehackernews.com/2022/01/north-korean-hackers-stole-millions.html) The Hacker News - North Korean Hackers Stole Millions from Crypto Startups (2022) - [5](https://www.picussecurity.com/resource/blog/bluenoroff-group-the-financial-cybercrime-arm-of-lazarus) Picus Security - BlueNoroff: The Financial Cybercrime Arm of Lazarus (2023)