Protocoalele încrucișate și firmele Web3 continuă să fie vizate de grupurile de hacking, deoarece deBridge Finance dezvăluie un atac eșuat care poartă semnele hackerilor din Coreea de Nord Lazarus Group.
Angajații deBridge Finance au primit ceea ce părea un alt e-mail obișnuit de la cofondatorul Alex Smirnov într-o după-amiază de vineri. Un atașament etichetat „Noi ajustări salariale” trebuia să trezească interes, cu diverse firme de criptomonede instituind concedieri de personal și reduceri salariale în timpul iernii în curs de desfășurare a criptomonedei.
O mână de angajați au semnalat e-mailul și atașamentul său ca fiind suspecte, dar un membru al personalului a luat momeala și a descărcat fișierul PDF. Acest lucru s-ar dovedi fortuit, deoarece echipa deBridge a lucrat la despachetarea vectorului de atac trimis de la o adresă de e-mail falsificată concepută pentru a oglindi pe cea a lui Smirnov.
Cofondatorul a aprofundat în complexitatea tentativei de atac de phishing într-un thread lung pe Twitter postat vineri, acționând ca un anunț de serviciu public pentru comunitatea mai largă de criptomonede și Web3:
1/ @deBridgeFinance a fost subiectul unei tentative de atac cibernetic, aparent din partea grupului Lazarus.
PSA pentru toate echipele din Web3, această campanie este probabil să fie răspândită. pic.twitter.com/P5bxY46O6m
— de Alex (@AlexSmirnov__) August 5, 2022
Echipa lui Smirnov a remarcat că atacul nu va infecta utilizatorii macOS, deoarece încercările de a deschide linkul pe un Mac duc la o arhivă zip cu fișierul PDF normal Adjustments.pdf. Cu toate acestea, sistemele bazate pe Windows sunt în pericol, așa cum a explicat Smirnov:
„Vectorul de atac este următorul: utilizatorul deschide linkul din e-mail, descarcă și deschide arhiva, încearcă să deschidă PDF, dar PDF solicită o parolă. Utilizatorul deschide password.txt.lnk și infectează întregul sistem.”
Fișierul text provoacă daune, executând o comandă cmd.exe care verifică sistemul pentru software antivirus. Dacă sistemul nu este protejat, fișierul rău intenționat este salvat în folderul autostart și începe să comunice cu atacatorul pentru a primi instrucțiuni.
Legate de: 'Nimeni nu-i reține” — Amenințarea de atac cibernetic din Coreea de Nord crește
Echipa deBridge a permis scriptului să primească instrucțiuni, dar a anulat capacitatea de a executa orice comenzi. Acest lucru a arătat că codul colectează o serie de informații despre sistem și o exportă către atacatori. În circumstanțe normale, hackerii ar putea rula cod pe mașina infectată din acest moment înainte.
smirnov legate de înapoi la cercetările anterioare asupra atacurilor de tip phishing efectuate de Lazarus Group, care foloseau aceleași nume de fișiere:
#Parolă periculoasă (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – infrastructură suprapusă cu @h2jazitweet-ul lui, precum și campaniile anterioare.
d73e832c84c45c3faa9495b39833adb2
Noi ajustări salariale.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Iulie 21, 2022
2022 a văzut o creșterea hackurilor încrucișate după cum a subliniat firma de analiză blockchain Chainalysis. Criptomonede în valoare de peste 2 miliarde de dolari au fost acoperite în 13 atacuri diferite în acest an, reprezentând aproape 70% din fondurile furate. Podul Ronin al lui Axie Infinity a fost cel mai rău lovit de până acum, pierzând 612 milioane de dolari în fața hackerilor în martie 2022.
Sursa: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group