Lazarus-koblet kryptohack utsletter tidligere Animoca-leders sparepenger

Lazarus, en nordkoreansk statsstøttet nettkriminalitetsgruppe, har blitt knyttet til et phishing-angrep som resulterte i tyveri av en stor del av en tidligere Animoca Brands-leders kryptobeholdning.

Mehdi Farooq, nå investeringspartner i Hypersphere Ventures, avslørte at seks av kryptovaluta lommebøker hans ble tømt etter at han uvitende installerte en falsk Zoom-oppdatering.

Den forseggjorte svindelen utnyttet sosial tillit, profesjonelle nettverk og videokonferanseprogramvare for å utføre et av de mest sofistikerte lommeboktappende angrepene som er rapportert i år.

Hackere utga seg for å være kontakter gjennom Telegram og Zoom

Phishing-opplegget begynte med en Telegram-melding sendt til Farooq fra noen som så ut til å være Alex Lin, en kjent bekjent. Etter litt frem og tilbake gikk Farooq med på en samtale og delte Calendly-lenken sin for å avtale et møte.

Dagen for møtet sendte den samme kontoen melding igjen, med henvisning til samsvarsgrunner for å flytte samtalen til Zoom Business. Farooq ble fortalt at en annen kjent bransjekontakt, Kent, ville bli med i samtalen.

Zoom-møtet virket legitimt. Deltakerne hadde kameraene slått på, men ingen lyd kunne høres. I stedet dukket det opp en melding i møtechatten som forklarte at det var tekniske problemer og ba Farooq om å oppdatere Zoom-klienten sin.

Han etterkom, og i løpet av minutter etter at han installerte filen, ble alle seks krypto lommebøker hans kompromittert og tømt.

Angriperne brukte skadelig programvare forkledd som en Zoom-oppdatering for å få tilgang til Farooqs system.

Kommunikasjons- og sosial ingeniørteknikk som brukes stemmer overens med tidligere hendelser knyttet til Lazarus Group, en velkjent nordkoreansk hackingenhet anklaget for flere kryptotyverier av høy verdi de siste årene.

Lazarus knyttet sammen gjennom atferdsmønstre og type skadelig programvare

Phishing-angrepet bar flere kjennetegn på Lazarus-operasjoner. Disse inkluderer etterligning av kjente bransjekontakter, bruk av installatører med skadelig programvare og manipulering av videokonferanseplattformer.

I dette tilfellet iscenesatte angriperne en overbevisende videosamtale mens de deaktiverte lyd, en taktikk som kan ha distrahert Farooq fra å stille spørsmål ved legitimiteten til situasjonen.

Farooqs erfaring kommer bare uker etter at et lignende phishing-forsøk rettet seg mot Kenny Li, medgründer av Manta Network. I så fall brukte angripere identiske teknikker – falske Zoom-samtaler, etterlignede kontakter og meldinger om nedlasting av skadelig programvare.

Li unngikk å bli offer ved å foreslå en overgang til en annen kommunikasjonsplattform, hvorpå angriperne forsvant.

Sikkerhetsforskere mener disse koordinerte angrepene indikerer at Lazarus har foredlet metodene sine og økt fokuset på å utnytte tillit mellom fagfolk.

Skadevaren som ble brukt i begge hendelsene ligner mye på kode som brukes i andre Lazarus-tilskrevne angrep, spesielt «dangrouspassword»-utnyttelsen bemerket av analytikere.

Flere gründere rapporterer om lignende taktikker de siste ukene

Angrepet på Farooq er en del av en økende trend med sofistikerte phishing-kampanjer rettet mot kryptovalutaledere og utviklere.

Grunnleggere og teammedlemmer fra Mon Protocol, Stably og Devdock AI har også rapportert å ha mottatt mistenkelige meldinger som forsøkte å lokke dem inn i kompromitterte Zoom-miljøer.

11. mars delte Nick Bax fra Security Alliance en oversikt over den Lazarus-tilknyttede phishing-strategien i et innlegg på X, og skisserte hvordan angripere bruker ekte sosiale forbindelser, kombinert med videokonferanser, for å installere fjerntilgangsverktøy og stjele kryptoaktiva.

Farooq delte at selv om tapet var betydelig, kom flere whitehat-hackere og medlemmer av kryptosikkerhetssamfunnet frem for å hjelpe ham med å spore opp hva som skjedde.

Selv om de stjålne midlene ennå ikke er gjenfunnet, har hendelsen understreket viktigheten av å verifisere identiteter på tvers av flere plattformer og unngå eksterne programvareinstallasjoner under videosamtaler.