Un piratage de cryptomonnaie lié à Lazarus anéantit les économies d’un ancien dirigeant d’Animoca

Lazarus, un groupe de cybercriminalité soutenu par l’État nord-coréen, a été lié à une attaque de phishing qui a entraîné le vol d’une grande partie des avoirs en cryptomonnaies d’un ancien dirigeant d’Animoca Brands.

Mehdi Farooq, aujourd’hui partenaire d’investissement chez Hypersphere Ventures, a révélé que six de ses wallets crypto-monnaie avaient été vidées après avoir installé sans le savoir une fausse mise à jour de Zoom.

L’escroquerie élaborée a exploité la confiance sociale, les réseaux professionnels et les logiciels de vidéoconférence pour mener à bien l’une des attaques de vidage de portefeuille les plus sophistiquées signalées cette année.

Les pirates ont usurpé l’identité de contacts via Telegram et Zoom

Le stratagème de phishing a commencé par un message Telegram envoyé à Farooq par une personne semblant être Alex Lin, une connaissance connue. Après quelques allers-retours, Farooq a accepté un appel et a partagé son lien Calendly pour planifier une réunion.

Le jour de la réunion, le même compte a envoyé un nouveau message, invoquant des raisons de conformité pour déplacer la conversation vers Zoom Business. Farooq a été informé qu’un autre contact connu de l’industrie, Kent, se joindrait à l’appel.

La réunion Zoom semblait légitime. Les participants avaient leurs caméras allumées, mais aucun son ne pouvait être entendu. Au lieu de cela, un message est apparu dans le chat de la réunion expliquant qu’il y avait des difficultés techniques et demandant à Farooq de mettre à jour son client Zoom.

Il s’est exécuté, et quelques minutes après l’installation du fichier, ses six wallets crypto ont été compromises et vidées.

Les attaquants ont utilisé un logiciel malveillant déguisé en mise à jour de Zoom pour accéder au système de Farooq.

Les techniques de communication et d’ingénierie sociale employées s’alignent sur des incidents précédents liés au groupe Lazarus, une unité de piratage nord-coréenne bien connue accusée de plusieurs vols de cryptomonnaies de grande valeur ces dernières années.

Lazarus lié par des modèles de comportement et le type de logiciel malveillant

L’attaque de phishing portait plusieurs caractéristiques des opérations de Lazarus. Il s’agit notamment de l’usurpation d’identité de contacts connus de l’industrie, de l’utilisation d’installateurs contenant des logiciels malveillants et de la manipulation de plateformes de vidéoconférence.

Dans ce cas, les attaquants ont organisé un appel vidéo convaincant tout en désactivant l’audio, une tactique qui a peut-être détourné Farooq de la remise en question de la légitimité de la situation.

L’expérience de Farooq survient quelques semaines seulement après qu’une tentative de phishing similaire ait ciblé Kenny Li, cofondateur de Manta Network. Dans ce cas, les attaquants ont utilisé des techniques identiques : faux appels Zoom, contacts usurpés d’identité et invites de téléchargement de logiciels malveillants.

Li a évité d’être victime en suggérant de passer à une autre plate-forme de communication, après quoi les attaquants ont disparu.

Les chercheurs en sécurité pensent que ces attaques coordonnées indiquent que Lazarus a affiné ses méthodes et s’est concentré sur l’exploitation de la confiance entre les professionnels.

Le logiciel malveillant utilisé dans les deux incidents ressemble beaucoup au code utilisé dans d’autres attaques attribuées à Lazarus, en particulier l’exploit « dangrouspassword » noté par les analystes.

Plusieurs fondateurs font état de tactiques similaires ces dernières semaines

L’attaque contre Farooq fait partie d’une tendance croissante de campagnes de phishing sophistiquées ciblant les dirigeants et les développeurs de crypto-monnaies.

Les fondateurs et les membres de l’équipe de Mon Protocol, Stably et Devdock AI ont également signalé avoir reçu des messages suspects qui tentaient de les attirer dans des environnements Zoom compromis.

Le 11 mars, Nick Bax, de la Security Alliance, a partagé une ventilation de la stratégie de phishing liée à Lazarus dans un post sur X, expliquant comment les attaquants utilisent de véritables connexions sociales, associées à la vidéoconférence, pour installer des outils d’accès à distance et voler des actifs cryptographiques.

Farooq a partagé que si la perte était substantielle, plusieurs pirates informatiques et membres de la communauté de la sécurité crypto se sont manifestés pour l’aider à retrouver ce qui s’est passé.

Bien que les fonds volés n’aient pas encore été récupérés, l’incident a souligné l’importance de vérifier les identités sur plusieurs plateformes et d’éviter les installations de logiciels externes déclenchées lors d’appels vidéo.