Krypto-Hack in Verbindung mit Lazarus vernichtet die Ersparnisse eines Ex-Animoca-Managers

Lazarus, eine staatlich unterstützte nordkoreanische Cybercrime-Gruppe, wurde mit einem Phishing-Angriff in Verbindung gebracht, der zum Diebstahl eines großen Teils der Krypto-Bestände eines ehemaligen Animoca Brands-Managers führte.

Mehdi Farooq, jetzt Investmentpartner bei Hypersphere Ventures, enthüllte, dass sechs seiner Kryptowährung Wallets geleert wurden, nachdem er unwissentlich ein gefälschtes Zoom-Update installiert hatte.

Der ausgeklügelte Betrug nutzte soziales Vertrauen, professionelle Netzwerke und Videokonferenzsoftware aus, um einen der raffiniertesten Wallet-Draining-Angriffe durchzuführen, die in diesem Jahr gemeldet wurden.

Hacker gaben sich über Telegram und Zoom als Kontakte aus

Das Phishing-Schema begann mit einer Telegram-Nachricht, die von jemandem an Farooq gesendet wurde, bei dem es sich offenbar um Alex Lin handelte, einen bekannten Bekannten. Nach einigem Hin und Her stimmte Farooq einem Anruf zu und teilte seinen Calendly-Link mit, um ein Treffen zu vereinbaren.

Am Tag des Meetings schickte derselbe Account erneut eine Nachricht und gab Compliance-Gründe an, um das Gespräch auf Zoom Business zu verlegen. Farooq wurde mitgeteilt, dass ein weiterer bekannter Ansprechpartner aus der Branche, Kent, an der Telefonkonferenz teilnehmen würde.

Das Zoom-Meeting schien legitim zu sein. Die Kameras der Teilnehmer hatten ihre Kameras eingeschaltet, aber es war kein Ton zu hören. Stattdessen erschien im Meeting-Chat eine Nachricht, in der erklärt wurde, dass es technische Schwierigkeiten gab, und in der Farooq aufgefordert wurde, seinen Zoom-Client zu aktualisieren.

Er kam dem nach, und innerhalb weniger Minuten nach der Installation der Datei waren alle seine sechs Krypto Wallets kompromittiert und geleert.

Die Angreifer nutzten Malware, die als Zoom-Update getarnt war, um Zugriff auf das System von Farooq zu erhalten.

Die eingesetzten Kommunikations- und Social-Engineering-Techniken stehen im Einklang mit früheren Vorfällen im Zusammenhang mit der Lazarus Group, einer bekannten nordkoreanischen Hackereinheit, der in den letzten Jahren mehrere hochwertige Krypto-Diebstähle vorgeworfen werden.

Lazarus verknüpft durch Verhaltensmuster und Malware-Typ

Der Phishing-Angriff wies mehrere Merkmale der Lazarus-Operationen auf. Dazu gehören die Nachahmung bekannter Branchenkontakte, die Verwendung von mit Malware verseuchten Installationsprogrammen und die Manipulation von Videokonferenzplattformen.

In diesem Fall inszenierten die Angreifer einen überzeugenden Videoanruf, während sie den Ton deaktivierten, eine Taktik, die Farooq möglicherweise davon abgelenkt hat, die Legitimität der Situation in Frage zu stellen.

Die Erfahrung von Farooq kommt nur wenige Wochen nach einem ähnlichen Phishing-Versuch, der auf Kenny Li, den Mitbegründer von Manta Network, abzielte. In diesem Fall verwendeten die Angreifer identische Techniken – gefälschte Zoom-Anrufe, imitierte Kontakte und Aufforderungen zum Herunterladen von Malware.

Li vermied es, Opfer zu werden, indem er vorschlug, zu einer anderen Kommunikationsplattform zu wechseln, woraufhin die Angreifer verschwanden.

Sicherheitsforscher glauben, dass diese koordinierten Angriffe darauf hindeuten, dass Lazarus seine Methoden verfeinert und sich verstärkt auf die Ausnutzung des Vertrauens zwischen Fachleuten konzentriert hat.

Die Malware, die bei beiden Vorfällen verwendet wurde, ähnelt stark dem Code, der bei anderen Lazarus-Angriffen verwendet wurde, insbesondere dem von Analysten festgestellten "dangrouspassword"-Exploit.

Mehrere Gründer berichten von ähnlichen Taktiken in den letzten Wochen

Der Angriff auf Farooq ist Teil eines wachsenden Trends ausgeklügelter Phishing-Kampagnen , die auf Führungskräfte und Entwickler von Kryptowährungen abzielen.

Gründer und Teammitglieder von Mon Protocol, Sturdy und Devdock AI haben ebenfalls berichtet, dass sie verdächtige Nachrichten erhalten haben, die versuchten, sie in kompromittierte Zoom-Umgebungen zu locken.

Am 11. März teilte Nick Bax von der Security Alliance in einem Beitrag auf X eine Aufschlüsselung der mit Lazarus verbundenen Phishing-Strategie und skizzierte, wie Angreifer echte soziale Verbindungen in Verbindung mit Videokonferenzen nutzen, um Tools für den Fernzugriff zu installieren und Krypto-Assets zu stehlen.

Farooq teilte mit, dass der Verlust zwar beträchtlich war, sich aber mehrere Whitehat-Hacker und Mitglieder der Krypto-Sicherheitsgemeinschaft gemeldet haben, um ihm bei der Suche nach dem Geschehenen zu helfen.

Obwohl die gestohlenen Gelder noch nicht wiedergefunden wurden, hat der Vorfall unterstrichen, wie wichtig es ist, Identitäten über mehrere Plattformen hinweg zu überprüfen und externe Softwareinstallationen zu vermeiden, die bei Videoanrufen ausgelöst werden.