L'hack crypto legato a Lazarus spazza via i risparmi di una vita dell'ex dirigente di Animoca

Lazarus, un gruppo di criminali informatici sostenuto dallo stato nordcoreano, è stato collegato a un attacco di phishing che ha portato al furto di gran parte delle partecipazioni in criptovalute di un ex dirigente di Animoca Brands.

Mehdi Farooq, ora partner di investimento presso Hypersphere Ventures, ha rivelato che sei dei suoi wallet criptovalute sono stati svuotati dopo aver installato inconsapevolmente un falso aggiornamento di Zoom.

L'elaborata truffa ha sfruttato la fiducia sociale, le reti professionali e il software di videoconferenza per eseguire uno degli attacchi di prosciugamento del portafoglio più sofisticati segnalati quest'anno.

Gli hacker si sono spacciati per contatti tramite Telegram e Zoom

Lo schema di phishing è iniziato con un messaggio Telegram inviato a Farooq da qualcuno che sembrava essere Alex Lin, un noto conoscente. Dopo un po' di tira e molla, Farooq ha accettato una telefonata e ha condiviso il suo link Calendly per fissare un incontro.

Il giorno dell'incontro, lo stesso account ha inviato nuovamente un messaggio, citando motivi di conformità per spostare la conversazione su Zoom Business. A Farooq è stato detto che un altro noto contatto dell'industria, Kent, si sarebbe unito alla chiamata.

L'incontro su Zoom sembrava legittimo. I partecipanti avevano le telecamere accese, ma non si sentiva l'audio. Invece, nella chat della riunione è apparso un messaggio che spiegava che c'erano difficoltà tecniche e chiedeva a Farooq di aggiornare il suo client Zoom.

Ha obbedito e, pochi minuti dopo l'installazione del file, tutti e sei i suoi wallet crypto sono stati compromessi e svuotati.

Gli aggressori hanno utilizzato un malware mascherato da aggiornamento di Zoom per ottenere l'accesso al sistema di Farooq.

Le tecniche di comunicazione e di ingegneria sociale impiegate si allineano con precedenti incidenti legati a Lazarus Group, una nota unità di hacking nordcoreana accusata di molteplici furti di criptovalute di alto valore negli ultimi anni.

Lazarus collegato attraverso modelli di comportamento e tipo di malware

L'attacco di phishing portava diversi tratti distintivi delle operazioni di Lazarus. Questi includono l'impersonificazione di contatti noti del settore, l'uso di programmi di installazione basati su malware e la manipolazione delle piattaforme di videoconferenza.

In questo caso, gli aggressori hanno inscenato una videochiamata convincente disabilitando l'audio, una tattica che potrebbe aver distratto Farooq dal mettere in discussione la legittimità della situazione.

L'esperienza di Farooq arriva poche settimane dopo che un tentativo di phishing simile ha preso di mira Kenny Li, co-fondatore di Manta Network. In quel caso, gli aggressori hanno utilizzato tecniche identiche: false chiamate Zoom, contatti impersonati e richieste di download di malware.

Li ha evitato di cadere vittima suggerendo di passare a un'altra piattaforma di comunicazione, a quel punto gli aggressori sono scomparsi.

I ricercatori di sicurezza ritengono che questi attacchi coordinati indichino che Lazarus ha perfezionato i suoi metodi e aumentato la sua attenzione sullo sfruttamento della fiducia tra professionisti.

Il malware utilizzato in entrambi gli incidenti assomiglia molto al codice utilizzato in altri attacchi attribuiti a Lazarus, in particolare l'exploit "dangrouspassword" notato dagli analisti.

Diversi fondatori segnalano tattiche simili nelle ultime settimane

L'attacco a Farooq fa parte di una tendenza crescente di sofisticate campagne di phishing rivolte a dirigenti e sviluppatori di criptovalute.

Anche i fondatori e i membri del team di Mon Protocol, Stably e Devdock AI hanno segnalato di aver ricevuto messaggi sospetti che tentavano di attirarli in ambienti Zoom compromessi.

L'11 marzo, Nick Bax della Security Alliance ha condiviso un'analisi della strategia di phishing legata a Lazarus in un post su X, delineando come gli aggressori utilizzino connessioni sociali autentiche, insieme a videoconferenze, per installare strumenti di accesso remoto e rubare criptovalute.

Farooq ha condiviso che, sebbene la perdita sia stata sostanziale, diversi hacker whitehat e membri della comunità della sicurezza crypto si sono fatti avanti per aiutarlo a rintracciare l'accaduto.

Sebbene i fondi rubati debbano ancora essere recuperati, l'incidente ha sottolineato l'importanza di verificare l'identità su più piattaforme ed evitare installazioni di software esterni durante le videochiamate.