Haker kryptowalutowy powiązany z Lazarusem pozbawia oszczędności życia byłego dyrektora Animoca

Lazarus, wspierana przez państwo północnokoreańska grupa cyberprzestępcza, została powiązana z atakiem phishingowym, który doprowadził do kradzieży dużej części udziałów kryptowalutowych byłego dyrektora Animoca Brands.

Mehdi Farooq, obecnie partner inwestycyjny w Hypersphere Ventures, ujawnił, że sześć jego portfele kryptowalut zostało opróżnionych po tym, jak nieświadomie zainstalował fałszywą aktualizację Zoom.

Wyrafinowane oszustwo wykorzystywało zaufanie społeczne, sieci zawodowe i oprogramowanie do wideokonferencji do przeprowadzenia jednego z najbardziej wyrafinowanych ataków drenujących portfel, jakie odnotowano w tym roku.

Hakerzy podszywali się pod kontakty za pośrednictwem Telegrama i Zooma

Schemat phishingowy rozpoczął się od wiadomości Telegram wysłanej do Farooqa od osoby podszywającej się pod Alexa Lina, znanego znajomego. Po kilku rozmowach Farooq zgodził się na rozmowę telefoniczną i udostępnił swój link do Calendly, aby umówić się na spotkanie.

W dniu spotkania to samo konto ponownie wysłało wiadomość, powołując się na powody związane z przestrzeganiem przepisów, aby przenieść rozmowę do Zoom Business. Farooqowi powiedziano, że inny znany kontakt z branży, Kent, dołączy do rozmowy.

Spotkanie na Zoomie wyglądało na legalne. Uczestnicy mieli włączone kamery, ale nie było słychać żadnego dźwięku. Zamiast tego na czacie spotkania pojawiła się wiadomość wyjaśniająca, że wystąpiły problemy techniczne i prosząca Farooqa o zaktualizowanie swojego klienta Zoom.

Zastosował się do jego prośby i w ciągu kilku minut od zainstalowania pliku wszystkie sześć jego portfele do kryptowalut zostało skompromitowanych i opróżnionych.

Atakujący wykorzystali złośliwe oprogramowanie podszywające się pod aktualizację Zoom, aby uzyskać dostęp do systemu Farooqa.

Zastosowane techniki komunikacji i socjoinżynierii są zgodne z wcześniejszymi incydentami związanymi z Lazarus Group, znaną północnokoreańską jednostką hakerską oskarżoną o wiele kradzieży kryptowalut o wysokiej wartości w ostatnich latach.

Lazarus powiązany za pomocą wzorców zachowań i typu złośliwego oprogramowania

Atak phishingowy nosił kilka cech charakterystycznych dla operacji Lazarusa. Należą do nich podszywanie się pod znane kontakty branżowe, korzystanie z instalatorów zawierających złośliwe oprogramowanie oraz manipulowanie platformami wideokonferencyjnymi.

W tym przypadku napastnicy zainscenizowali przekonującą rozmowę wideo, jednocześnie wyłączając dźwięk, co mogło odwrócić uwagę Farooqa od kwestionowania legalności sytuacji.

Doświadczenie Farooqa pojawiło się zaledwie kilka tygodni po podobnej próbie phishingu wymierzonej w Kenny'ego Li, współzałożyciela Manta Network. W tym przypadku atakujący użyli identycznych technik — fałszywych połączeń Zoom, podszywających się kontaktów i monitów o pobranie złośliwego oprogramowania.

Li uniknął stania się ofiarą, sugerując przejście na inną platformę komunikacyjną, po czym napastnicy zniknęli.

Badacze bezpieczeństwa uważają, że te skoordynowane ataki wskazują, że Lazarus udoskonalił swoje metody i zwiększył nacisk na wykorzystanie zaufania między profesjonalistami.

Złośliwe oprogramowanie użyte w obu incydentach bardzo przypomina kod używany w innych atakach przypisywanych Lazarusowi, zwłaszcza w exploitie "dangrouspassword" odnotowanym przez analityków.

Wielu założycieli zgłasza podobne taktyki w ostatnich tygodniach

Atak na Farooq jest częścią rosnącego trendu wyrafinowanych kampanii phishingowych wymierzonych w dyrektorów i deweloperów kryptowalut.

Założyciele i członkowie zespołu z Mon Protocol, Stable i Devdock AI również zgłaszali otrzymywanie podejrzanych wiadomości, które próbowały zwabić ich do zhakowanych środowisk Zoom.

11 marca Nick Bax z Security Alliance podzielił się opisem strategii phishingowej powiązanej z Lazarusem w poście na X, przedstawiając, w jaki sposób atakujący wykorzystują prawdziwe połączenia społecznościowe, w połączeniu z wideokonferencjami, do instalowania narzędzi zdalnego dostępu i kradzieży aktywów kryptograficznych.

Farooq powiedział, że chociaż strata była znaczna, kilku hakerów w białych kapeluszach i członków społeczności bezpieczeństwa kryptograficznego zgłosiło się, aby pomóc mu w śledzeniu, co się stało.

Chociaż skradzione środki nie zostały jeszcze odzyskane, incydent podkreślił znaczenie weryfikacji tożsamości na wielu platformach i unikania instalacji zewnętrznego oprogramowania podczas rozmów wideo.