اختراق التشفير المرتبط ب Lazarus يقضي على مدخرات الحياة لمدير تنفيذي سابق في Animoca

تم ربط Lazarus ، وهي مجموعة جرائم إلكترونية مدعومة من الدولة في كوريا الشمالية بهجوم تصيد أدى إلى سرقة جزء كبير من مقتنيات التشفير لمسؤول تنفيذي سابق في Animoca Brands.

كشف مهدي فاروق ، وهو الآن شريك استثماري في Hypersphere Ventures ، أنه تم إفراغ ستة من محافظ العملات المشفرة الخاصة به بعد أن قام بتثبيت تحديث Zoom مزيف عن غير علمه.

استغلت عملية الاحتيال المتقنة الثقة الاجتماعية والشبكات المهنية وبرامج مؤتمرات الفيديو لتنفيذ واحدة من أكثر هجمات استنزاف المحفظة تعقيدا التي تم الإبلاغ عنها هذا العام.

انتحل المتسللون صفة جهات الاتصال من خلال Telegram و Zoom

بدأ مخطط التصيد الاحتيالي برسالة Telegram أرسلت إلى فاروق من شخص يبدو أنه أليكس لين ، أحد معارفه المعروفين. بعد بعض الترددات ذهابا وإيابا ، وافق فاروق على مكالمة وشارك رابط Cal Friendly الخاص به لتحديد موعد اجتماع.

في يوم الاجتماع ، تم إرسال نفس الحساب رسالة مرة أخرى ، مستشهدا بأسباب الامتثال لنقل المحادثة إلى Zoom Business. قيل لفاروق أن جهة اتصال أخرى معروفة في الصناعة ، كينت ، ستنضم إلى المكالمة.

بدا اجتماع Zoom شرعيا. تم تشغيل كاميرات المشاركين ، لكن لم يتم سماع أي صوت. بدلا من ذلك ، ظهرت رسالة في دردشة الاجتماع توضح وجود صعوبات فنية وتطلب من فاروق تحديث عميل Zoom الخاص به.

امتثل ، وفي غضون دقائق من تثبيت الملف ، تم اختراق جميع محافظ العملات المشفرة الستة الخاصة به وإفراغها.

استخدم المهاجمون برامج ضارة متخفية في شكل تحديث Zoom للوصول إلى نظام Farooq.

تتوافق تقنيات الاتصال والهندسة الاجتماعية المستخدمة مع الحوادث السابقة المرتبطة بمجموعة Lazarus Group ، وهي وحدة قرصنة كورية شمالية معروفة متهمة بارتكاب العديد من سرقات العملات المشفرة عالية القيمة في السنوات الأخيرة.

ارتبط Lazarus من خلال أنماط السلوك ونوع البرامج الضارة

حمل هجوم التصيد الاحتيالي العديد من السمات المميزة لعمليات Lazarus. وتشمل هذه انتحال هوية جهات الاتصال المعروفة في الصناعة ، واستخدام أدوات التثبيت المليئة بالبرامج الضارة ، والتلاعب بمنصات مؤتمرات الفيديو.

في هذه الحالة، أجرى المهاجمون مكالمة فيديو مقنعة أثناء تعطيل الصوت، وهو تكتيك ربما صرف انتباه فاروق عن التشكيك في شرعية الموقف.

تأتي تجربة فاروق بعد أسابيع فقط من محاولة تصيد مماثلة استهدفت كيني لي ، المؤسس المشارك لشبكة مانتا. في هذه الحالة ، استخدم المهاجمون تقنيات متطابقة - مكالمات Zoom المزيفة ، وجهات الاتصال المنتحلة ، ومطالبات تنزيل البرامج الضارة.

تجنب لي الوقوع ضحية من خلال اقتراح التبديل إلى منصة اتصال أخرى ، وعند هذه النقطة اختفى المهاجمون.

يعتقد باحثون أمنيون أن هذه الهجمات المنسقة تشير إلى أن Lazarus قد صقلت أساليبها وزادت من تركيزها على استغلال الثقة بين المحترفين.

تشبه البرامج الضارة المستخدمة في كلتا الحادثتين إلى حد كبير التعليمات البرمجية المستخدمة في الهجمات الأخرى المنسوبة إلى Lazarus ، وخاصة استغلال "dangrouspassword" الذي لاحظه المحللون.

أبلغ العديد من المؤسسين عن تكتيكات مماثلة في الأسابيع الأخيرة

يعد الهجوم على فاروق جزءا من اتجاه متزايد لحملات التصيد الاحتيالي المعقدة التي تستهدف المديرين التنفيذيين والمطورين للعملات المشفرة .

كما أبلغ المؤسسون وأعضاء الفريق من Mon Protocol و Stably و Devdock الذكاء الاصطناعي عن تلقي رسائل مشبوهة حاولت إغرائهم إلى بيئات Zoom المخترقة.

في 11 مارس ، شارك باكس من Security Alliance تفصيلا لاستراتيجية التصيد الاحتيالي المرتبطة ب Lazarus في منشور على X ، موضحا كيفية استخدام المهاجمين للاتصالات الاجتماعية الحقيقية ، إلى جانب مؤتمرات الفيديو ، لتثبيت أدوات الوصول عن بعد وسرقة الأصول المشفرة.

شارك فاروق أنه في حين أن الخسارة كانت كبيرة ، تقدم العديد من قراصنة القبعة البيضاء وأعضاء مجتمع أمان التشفير لمساعدته في تعقب ما حدث.

على الرغم من أن الأموال المسروقة لم يتم استردادها بعد ، إلا أن الحادث أكد على أهمية التحقق من الهويات عبر منصات متعددة وتجنب عمليات تثبيت البرامج الخارجية التي يتم طلبها أثناء مكالمات الفيديو.