Lazarus-forbundet kryptohack udsletter tidligere Animoca-direktørs livsopsparing

Lazarus, en nordkoreansk statsstøttet cyberkriminalitetsgruppe, er blevet sat i forbindelse med et phishing-angreb, der resulterede i tyveri af en stor del af en tidligere Animoca Brands-direktørs kryptobeholdninger.

Mehdi Farooq, der nu er investeringspartner hos Hypersphere Ventures, afslørede, at seks af hans kryptovaluta wallets blev tømt, efter at han ubevidst installerede en falsk Zoom-opdatering.

Den omfattende fidus udnyttede social tillid, professionelle netværk og videokonferencesoftware til at udføre et af de mest sofistikerede tegnebogsdrænende angreb, der er rapporteret i år.

Hackere udgav sig for at være kontakter via Telegram og Zoom

Phishing-ordningen begyndte med en Telegram-besked sendt til Farooq fra en person, der så ud til at være Alex Lin, en kendt bekendt. Efter lidt frem og tilbage indvilligede Farooq i et opkald og delte sit Calendly-link for at planlægge et møde.

Dagen for mødet sendte den samme konto en besked igen med henvisning til overholdelsesårsager for at flytte samtalen til Zoom Business. Farooq fik at vide, at en anden kendt branchekontakt, Kent, ville deltage i opkaldet.

Zoom-mødet virkede legitimt. Deltagerne havde deres kameraer tændt, men ingen lyd kunne høres. I stedet dukkede en besked op i mødechatten, der forklarede, at der var tekniske problemer og bad Farooq om at opdatere sin Zoom-klient.

Han efterkom det, og inden for få minutter efter installationen af filen var alle hans seks krypto wallets kompromitteret og tømt.

Angriberne brugte malware forklædt som en Zoom-opdatering for at få adgang til Farooqs system.

De anvendte kommunikations- og social engineering-teknikker stemmer overens med tidligere hændelser knyttet til Lazarus Group, en velkendt nordkoreansk hackerenhed, der er anklaget for flere kryptotyverier af høj værdi i de seneste år.

Lazarus er forbundet gennem adfærdsmønstre og malwaretype

Phishing-angrebet bar flere kendetegn ved Lazarus' operationer. Disse omfatter efterligning af kendte branchekontakter, brug af malware-spækkede installatører og manipulation af videokonferenceplatforme.

I dette tilfælde iscenesatte angriberne et overbevisende videoopkald, mens de deaktiverede lyd, en taktik, der kan have distraheret Farooq fra at sætte spørgsmålstegn ved situationens legitimitet.

Farooqs oplevelse kommer kun få uger efter, at et lignende phishing-forsøg var rettet mod Kenny Li, medstifter af Manta Network. I så fald brugte angribere identiske teknikker - falske Zoom-opkald, efterlignede kontakter og prompter om download af malware.

Li undgik at blive offer ved at foreslå et skift til en anden kommunikationsplatform, hvorefter angriberne forsvandt.

Sikkerhedsforskere mener, at disse koordinerede angreb indikerer, at Lazarus har forfinet sine metoder og øget sit fokus på at udnytte tilliden mellem professionelle.

Malwaren, der blev brugt i begge hændelser, ligner meget kode, der bruges i andre Lazarus-tilskrevne angreb, især "dangrouspassword"-udnyttelsen, der er bemærket af analytikere.

Flere stiftere rapporterer om lignende taktikker i de seneste uger

Angrebet på Farooq er en del af en voksende tendens til sofistikerede phishing-kampagner rettet mod kryptovaluta-ledere og -udviklere.

Grundlæggere og teammedlemmer fra Mon Protocol, Stably og Devdock AI har også rapporteret at have modtaget mistænkelige beskeder, der forsøgte at lokke dem ind i kompromitterede Zoom-miljøer.

Den 11. marts delte Nick Bax fra Security Alliance en oversigt over den Lazarus-tilknyttede phishing-strategi i et indlæg på X, hvor han skitserede, hvordan angribere bruger ægte sociale forbindelser kombineret med videokonferencer til at installere fjernadgangsværktøjer og stjæle kryptoaktiver.

Farooq fortalte, at selvom tabet var betydeligt, trådte flere whitehat-hackere og medlemmer af kryptosikkerhedsfællesskabet frem for at hjælpe ham med at spore, hvad der skete.

Selvom de stjålne midler endnu ikke er blevet inddrevet, har hændelsen understreget vigtigheden af at verificere identiteter på tværs af flere platforme og undgå eksterne softwareinstallationer, der bliver bedt om under videoopkald.