I protocolli cross-chain e le aziende Web3 continuano a essere presi di mira dai gruppi di hacker, poiché deBridge Finance disimballa un attacco fallito che porta i segni distintivi degli hacker del Lazarus Group della Corea del Nord.
I dipendenti di deBridge Finance hanno ricevuto quella che sembrava un'altra normale e-mail dal co-fondatore Alex Smirnov un venerdì pomeriggio. Un allegato etichettato "Nuovi aggiustamenti salariali" era destinato a suscitare interesse, con varie società di criptovalute l'istituzione di licenziamenti e tagli salariali durante il continuo inverno delle criptovalute.
Una manciata di dipendenti ha segnalato l'e-mail e il relativo allegato come sospetti, ma un membro del personale ha abboccato e scaricato il file PDF. Ciò si rivelerebbe fortuito, poiché il team di deBridge ha lavorato per decomprimere il vettore di attacco inviato da un indirizzo e-mail fittizio progettato per rispecchiare quello di Smirnov.
Il co-fondatore ha approfondito le complessità del tentato attacco di phishing in un lungo thread su Twitter pubblicato venerdì, fungendo da annuncio di servizio pubblico per la più ampia comunità di criptovalute e Web3:
1/ @deBridgeFinance è stato oggetto di un tentativo di attacco informatico, a quanto pare da parte del gruppo Lazarus.
PSA per tutti i team in Web3, è probabile che questa campagna sia diffusa. pic.twitter.com/P5bxY46O6m
— diAlex (@AlexSmirnov__) 5 Agosto 2022
Il team di Smirnov ha notato che l'attacco non infetterebbe gli utenti macOS, poiché i tentativi di aprire il collegamento su un Mac portano a un archivio zip con il normale file PDF Adjustments.pdf. Tuttavia, i sistemi basati su Windows sono a rischio, come ha spiegato Smirnov:
"Il vettore di attacco è il seguente: l'utente apre il collegamento dall'e-mail, scarica e apre l'archivio, tenta di aprire il PDF, ma il PDF richiede una password. L'utente apre password.txt.lnk e infetta l'intero sistema."
Il file di testo fa il danno, eseguendo un comando cmd.exe che verifica la presenza di software antivirus nel sistema. Se il sistema non è protetto, il file dannoso viene salvato nella cartella di avvio automatico e inizia a comunicare con l'attaccante per ricevere istruzioni.
Imparentato: 'Nessuno li sta trattenendo': la minaccia di attacco informatico nordcoreano aumenta
Il team di deBridge ha consentito allo script di ricevere istruzioni, ma ha annullato la possibilità di eseguire qualsiasi comando. Ciò ha rivelato che il codice raccoglie una serie di informazioni sul sistema e le esporta agli aggressori. In circostanze normali, gli hacker sarebbero in grado di eseguire il codice sulla macchina infetta da questo momento in poi.
Smirnova connesso torniamo alle precedenti ricerche sugli attacchi di phishing condotte dal Lazarus Group che utilizzava gli stessi nomi di file:
#Passwordpericolosa (CryptoCore/CryptoMimic) #PTA:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – infrastruttura sovrapposta con @ h2jazi's tweet così come le campagne precedenti.
d73e832c84c45c3faa9495b39833adb2
Nuovi adeguamenti salariali.pdf https://t.co/kDyGXvnFaz— La Regina delle Banshee Strahdslayer (@cyberoverdrive) Luglio 21, 2022
Il 2022 ha visto un aumento di hack cross-bridge come evidenziato dalla società di analisi blockchain Chainalysis. Quest'anno oltre 2 miliardi di dollari di criptovaluta sono stati derubati in 13 diversi attacchi, rappresentando quasi il 70% dei fondi rubati. Il ponte Ronin di Axie Infinity è stato il il peggior colpo finora, perdendo 612 milioni di dollari a causa degli hacker nel marzo 2022.
Fonte: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group