Penggodaman kripto yang dikaitkan dengan Lazarus menghapuskan simpanan hidup bekas eksekutif Animoca

Lazarus, kumpulan jenayah siber yang disokong kerajaan Korea Utara telah dikaitkan dengan serangan pancingan data yang mengakibatkan kecurian sebahagian besar pegangan kripto bekas eksekutif Animoca Brands.

Mehdi Farooq, kini rakan kongsi pelaburan di Hypersphere Ventures, mendedahkan bahawa enam dompet mata wang kriptonya telah dikosongkan selepas dia secara tidak sedar memasang kemas kini Zoom palsu.

Penipuan yang rumit mengeksploitasi kepercayaan sosial, rangkaian profesional dan perisian persidangan video untuk menjalankan salah satu serangan yang paling canggih yang dilaporkan tahun ini.

Penggodam menyamar sebagai kenalan melalui Telegram dan Zoom

Skim pancingan data bermula dengan mesej Telegram yang dihantar kepada Farooq daripada seseorang yang kelihatan seperti Alex Lin, seorang kenalan yang dikenali. Selepas beberapa berulang-alik, Farooq bersetuju dengan panggilan dan berkongsi pautan Calendlynya untuk menjadualkan mesyuarat.

Pada hari mesyuarat, akaun yang sama menghantar mesej sekali lagi, memetik sebab pematuhan untuk memindahkan perbualan ke Zoom Business. Farooq diberitahu bahawa seorang lagi kenalan industri yang diketahui, Kent, akan menyertai panggilan itu.

Mesyuarat Zoom kelihatan sah. Para peserta menghidupkan kamera mereka, tetapi tiada audio boleh didengari. Sebaliknya, mesej muncul dalam sembang mesyuarat yang menjelaskan terdapat masalah teknikal dan meminta Farooq untuk mengemas kini pelanggan Zoomnya.

Dia mematuhinya, dan dalam beberapa minit selepas memasang fail itu, kesemua enam dompet kriptonya telah terjejas dan dikosongkan.

Penyerang menggunakan perisian hasad yang menyamar sebagai kemas kini Zoom untuk mendapatkan akses kepada sistem Farooq.

Teknik komunikasi dan kejuruteraan sosial yang digunakan sejajar dengan insiden sebelumnya yang dikaitkan dengan Lazarus Group, unit penggodaman Korea Utara terkenal yang dituduh melakukan pelbagai kecurian kripto bernilai tinggi dalam beberapa tahun kebelakangan ini.

Lazarus dipautkan melalui corak tingkah laku dan jenis perisian hasad

Serangan pancingan data itu mempunyai beberapa ciri operasi Lazarus. Ini termasuk penyamaran kenalan industri yang diketahui, penggunaan pemasang bercampur perisian hasad dan manipulasi platform persidangan video.

Dalam kes ini, penyerang mengadakan panggilan video yang meyakinkan sambil melumpuhkan audio, taktik yang mungkin telah mengalihkan perhatian Farooq daripada mempersoalkan kesahihan keadaan.

Pengalaman Farooq datang hanya beberapa minggu selepas percubaan pancingan data serupa menyasarkan Kenny Li, pengasas bersama Manta Network. Dalam kes itu, penyerang menggunakan teknik yang sama—panggilan Zoom palsu, kenalan yang menyamar dan gesaan muat turun perisian hasad.

Li mengelak daripada menjadi mangsa dengan mencadangkan pertukaran ke platform komunikasi lain, di mana penyerang hilang.

Penyelidik keselamatan percaya serangan yang diselaraskan ini menunjukkan Lazarus telah memperhalusi kaedahnya dan meningkatkan tumpuannya untuk mengeksploitasi kepercayaan antara profesional.

Perisian hasad yang digunakan dalam kedua-dua insiden hampir menyerupai kod yang digunakan dalam serangan lain yang dikaitkan dengan Lazarus, terutamanya eksploitasi "dangrouspassword" yang dicatatkan oleh penganalisis.

Berbilang pengasas melaporkan taktik serupa dalam beberapa minggu kebelakangan ini

Serangan ke atas Farooq adalah sebahagian daripada trend kempen pancingan data canggih yang semakin meningkat yang menyasarkan eksekutif dan pembangun mata wang kripto .

Pengasas dan ahli pasukan daripada Mon Protocol, Stably dan Devdock AI juga telah melaporkan menerima mesej mencurigakan yang cuba memikat mereka ke dalam persekitaran Zoom yang terjejas.

Pada 11 Mac, Nick Bax daripada Perikatan Keselamatan berkongsi pecahan strategi pancingan data berkaitan Lazarus dalam siaran di X, menggariskan cara penyerang menggunakan sambungan sosial tulen, ditambah dengan persidangan video, untuk memasang alat akses jauh dan mencuri aset kripto.

Farooq berkongsi bahawa walaupun kerugian itu besar, beberapa penggodam whitehat dan ahli komuniti keselamatan kripto tampil ke hadapan untuk membantunya menjejaki apa yang berlaku.

Walaupun dana yang dicuri masih belum ditemui, kejadian itu telah menggariskan kepentingan mengesahkan identiti merentas pelbagai platform dan mengelakkan pemasangan perisian luaran yang digesa semasa panggilan video.