Lazarus-gelinkte crypto-hack vernietigt het spaargeld van ex-Animoca-manager

Lazarus, een door de Noord-Koreaanse staat gesteunde cybercriminaliteitsgroep, is in verband gebracht met een phishing-aanval die resulteerde in de diefstal van een groot deel van de crypto-holdings van een voormalige directeur van Animoca Brands.

Mehdi Farooq, nu investeringspartner bij Hypersphere Ventures, onthulde dat zes van zijn cryptocurrency wallets werden geleegd nadat hij onbewust een nep-Zoom-update had geïnstalleerd.

De uitgebreide zwendel maakte gebruik van sociaal vertrouwen, professionele netwerken en software voor videoconferenties om een van de meest geavanceerde aanvallen uit te voeren die dit jaar zijn gemeld.

Hackers deden zich voor als contacten via Telegram en Zoom

Het phishing-plan begon met een Telegram-bericht dat naar Farooq werd gestuurd door iemand die Alex Lin leek te zijn, een bekende kennis. Na wat heen en weer stemde Farooq in met een telefoontje en deelde hij zijn Calendly-link om een afspraak te maken.

Op de dag van de vergadering stuurde hetzelfde account opnieuw een bericht, met vermelding van nalevingsredenen om het gesprek naar Zoom Business te verplaatsen. Farooq kreeg te horen dat een andere bekende contactpersoon uit de industrie, Kent, zou deelnemen aan de oproep.

De Zoom-vergadering leek legitiem. De deelnemers hadden hun camera's aan, maar er was geen geluid te horen. In plaats daarvan verscheen er een bericht in de chat van de vergadering waarin werd uitgelegd dat er technische problemen waren en waarin Farooq werd gevraagd zijn Zoom-client bij te werken.

Hij voldeed en binnen enkele minuten na het installeren van het bestand waren alle zes zijn crypto wallets gecompromitteerd en geleegd.

De aanvallers gebruikten malware vermomd als een Zoom-update om toegang te krijgen tot het systeem van Farooq.

De gebruikte communicatie- en social engineering-technieken sluiten aan bij eerdere incidenten die verband houden met Lazarus Group, een bekende Noord-Koreaanse hackeenheid die de afgelopen jaren wordt beschuldigd van meerdere hoogwaardige crypto-diefstallen.

Lazarus gekoppeld via gedragspatronen en malwaretype

De phishing-aanval droeg verschillende kenmerken van de operaties van Lazarus. Deze omvatten imitatie van bekende contacten in de branche, het gebruik van met malware doorspekte installatieprogramma's en manipulatie van videoconferentieplatforms.

In dit geval voerden de aanvallers een overtuigend videogesprek terwijl ze audio uitschakelden, een tactiek die Farooq mogelijk heeft afgeleid van het in twijfel trekken van de legitimiteit van de situatie.

De ervaring van Farooq komt slechts enkele weken na een soortgelijke phishing-poging gericht op Kenny Li, mede-oprichter van Manta Network. In dat geval gebruikten aanvallers identieke technieken: nep-Zoom-oproepen, geïmiteerde contacten en prompts voor het downloaden van malware.

Li voorkwam dat hij het slachtoffer werd door een overstap naar een ander communicatieplatform voor te stellen, waarna de aanvallers verdwenen.

Beveiligingsonderzoekers zijn van mening dat deze gecoördineerde aanvallen erop wijzen dat Lazarus zijn methoden heeft verfijnd en zich meer heeft gericht op het uitbuiten van het vertrouwen tussen professionals.

De malware die bij beide incidenten wordt gebruikt, lijkt sterk op de code die wordt gebruikt bij andere aan Lazarus toegeschreven aanvallen, met name de "dangrouspassword"-exploit die door analisten wordt opgemerkt.

Meerdere oprichters melden de afgelopen weken soortgelijke tactieken

De aanval op Farooq maakt deel uit van een groeiende trend van geavanceerde phishing-campagnes gericht op leidinggevenden en ontwikkelaars van cryptocurrency.

Oprichters en teamleden van Mon Protocol, Stably en Devdock AI hebben ook gemeld dat ze verdachte berichten hebben ontvangen die probeerden hen naar gecompromitteerde Zoom-omgevingen te lokken.

Op 11 maart deelde Nick Bax van de Security Alliance een uitsplitsing van de Lazarus-gekoppelde phishing-strategie in een bericht op X, waarin hij schetste hoe aanvallers echte sociale connecties gebruiken, in combinatie met videoconferenties, om tools voor externe toegang te installeren en crypto-activa te stelen.

Farooq deelde mee dat hoewel het verlies aanzienlijk was, verschillende whitehat-hackers en leden van de crypto-beveiligingsgemeenschap naar voren kwamen om hem te helpen bij het opsporen van wat er was gebeurd.

Hoewel het gestolen geld nog moet worden teruggevonden, heeft het incident het belang onderstreept van het verifiëren van identiteiten op meerdere platforms en het vermijden van externe software-installaties die tijdens videogesprekken worden gevraagd.