El hackeo de criptomonedas vinculado a Lazarus acaba con los ahorros de toda la vida de un ex ejecutivo de Animoca

Lazarus, un grupo de ciberdelincuencia respaldado por el estado de Corea del Norte, ha sido vinculado a un ataque de phishing que resultó en el robo de una gran parte de las tenencias de criptomonedas de un ex ejecutivo de Animoca Brands.

Mehdi Farooq, ahora socio inversor de Hypersphere Ventures, reveló que seis de sus wallets criptomonedas se vaciaron después de que, sin saberlo, instalara una actualización falsa de Zoom.

La elaborada estafa aprovechó la confianza social, las redes profesionales y el software de videoconferencia para llevar a cabo uno de los ataques de drenaje de billetera más sofisticados reportados este año.

Los piratas informáticos se hicieron pasar por contactos a través de Telegram y Zoom

El esquema de phishing comenzó con un mensaje de Telegram enviado a Farooq por alguien que parecía ser Alex Lin, un conocido conocido. Después de algunas idas y venidas, Farooq accedió a una llamada y compartió su enlace de Calendly para programar una reunión.

El día de la reunión, la misma cuenta volvió a enviar un mensaje, citando razones de cumplimiento para trasladar la conversación a Zoom Business. A Farooq le dijeron que otro contacto conocido de la industria, Kent, se uniría a la llamada.

La reunión de Zoom parecía legítima. Los participantes tenían sus cámaras encendidas, pero no se escuchaba ningún audio. En su lugar, apareció un mensaje en el chat de la reunión en el que se explicaba que había dificultades técnicas y se pedía a Farooq que actualizara su cliente de Zoom.

Cumplió, y a los pocos minutos de instalar el archivo, sus seis wallets de criptomonedas se vieron comprometidas y vaciadas.

Los atacantes utilizaron malware disfrazado de actualización de Zoom para obtener acceso al sistema de Farooq.

Las técnicas de comunicación e ingeniería social empleadas se alinean con incidentes anteriores relacionados con Lazarus Group, una conocida unidad de piratería norcoreana acusada de múltiples robos de criptomonedas de alto valor en los últimos años.

Lazarus vinculado a través de patrones de comportamiento y tipo de malware

El ataque de phishing tenía varias características distintivas de las operaciones de Lazarus. Estos incluyen la suplantación de contactos conocidos de la industria, el uso de instaladores con malware y la manipulación de plataformas de videoconferencia.

En este caso, los atacantes organizaron una videollamada convincente mientras desactivaban el audio, una táctica que puede haber distraído a Farooq de cuestionar la legitimidad de la situación.

La experiencia de Farooq se produce pocas semanas después de un intento de phishing similar dirigido a Kenny Li, cofundador de Manta Network. En ese caso, los atacantes utilizaron técnicas idénticas: llamadas falsas de Zoom, contactos suplantados y avisos de descarga de malware.

Li evitó ser víctima sugiriendo un cambio a otra plataforma de comunicación, momento en el que los atacantes desaparecieron.

Los investigadores de seguridad creen que estos ataques coordinados indican que Lazarus ha refinado sus métodos y ha aumentado su enfoque en explotar la confianza entre profesionales.

El malware utilizado en ambos incidentes se parece mucho al código utilizado en otros ataques atribuidos a Lazarus, especialmente el exploit "dangrouspassword" señalado por los analistas.

Varios fundadores informan de tácticas similares en las últimas semanas

El ataque a Farooq es parte de una tendencia creciente de sofisticadas campañas de phishing dirigidas a ejecutivos y desarrolladores de criptomonedas.

Los fundadores y miembros del equipo de Mon Protocol, Stably y Devdock AI también han informado de haber recibido mensajes sospechosos que intentaban atraerlos a entornos de Zoom comprometidos.

El 11 de marzo, Nick Bax, de Security Alliance, compartió un desglose de la estrategia de phishing vinculada a Lazarus en una publicación en X, en la que se describía cómo los atacantes utilizan conexiones sociales auténticas, junto con videoconferencias, para instalar herramientas de acceso remoto y robar criptoactivos.

Farooq compartió que, si bien la pérdida fue sustancial, varios hackers de sombrero blanco y miembros de la comunidad de seguridad de criptomonedas se presentaron para ayudarlo a rastrear lo sucedido.

Aunque los fondos robados aún no se han recuperado, el incidente ha subrayado la importancia de verificar las identidades en múltiples plataformas y evitar las instalaciones de software externo provocadas durante las videollamadas.