Hack de criptomoedas ligado a Lazarus acaba com as economias de uma vida de ex-executivo da Animoca

O Lazarus, um grupo de crimes cibernéticos apoiado pelo Estado norte-coreano, foi associado a um ataque de phishing que resultou no roubo de uma grande parte das participações em criptomoedas de um ex-executivo da Animoca Brands.

Mehdi Farooq, agora sócio de investimentos da Hypersphere Ventures, revelou que seis de suas wallets para criptomoedas foram esvaziadas depois que ele, sem saber, instalou uma atualização falsa do Zoom.

O elaborado golpe explorou a confiança social, redes profissionais e software de videoconferência para realizar um dos ataques de drenagem de carteira mais sofisticados relatados este ano.

Hackers se passaram por contatos por meio do Telegram e Zoom

O esquema de phishing começou com uma mensagem do Telegram enviada a Farooq por alguém que parecia ser Alex Lin, um conhecido conhecido. Depois de algumas idas e vindas, Farooq concordou com uma ligação e compartilhou seu link do Calendly para agendar uma reunião.

No dia da reunião, a mesma conta enviou uma mensagem novamente, citando motivos de conformidade para mover a conversa para o Zoom Business. Farooq foi informado de que outro contato conhecido da indústria, Kent, se juntaria à chamada.

A reunião do Zoom parecia legítima. Os participantes estavam com as câmeras ligadas, mas nenhum áudio podia ser ouvido. Em vez disso, uma mensagem apareceu no chat da reunião explicando que havia dificuldades técnicas e solicitando que Farooq atualizasse seu cliente Zoom.

Ele obedeceu e, minutos após a instalação do arquivo, todos os seis wallets para criptomoedas foram comprometidos e esvaziados.

Os invasores usaram malware disfarçado de atualização do Zoom para obter acesso ao sistema de Farooq.

As técnicas de comunicação e engenharia social empregadas se alinham com incidentes anteriores ligados ao Lazarus Group, uma conhecida unidade de hackers norte-coreana acusada de vários roubos de criptomoedas de alto valor nos últimos anos.

Lazarus vinculado por meio de padrões de comportamento e tipo de malware

O ataque de phishing tinha várias características das operações do Lazarus. Isso inclui a representação de contatos conhecidos do setor, o uso de instaladores com malware e a manipulação de plataformas de videoconferência.

Nesse caso, os invasores fizeram uma chamada de vídeo convincente enquanto desativavam o áudio, uma tática que pode ter distraído Farooq de questionar a legitimidade da situação.

A experiência de Farooq ocorre apenas algumas semanas depois que uma tentativa de phishing semelhante teve como alvo Kenny Li, cofundador da Manta Network. Nesse caso, os invasores usaram técnicas idênticas: chamadas falsas do Zoom, contatos falsificados e prompts de download de malware.

Li evitou ser vítima sugerindo uma mudança para outra plataforma de comunicação, momento em que os invasores desapareceram.

Pesquisadores de segurança acreditam que esses ataques coordenados indicam que o Lazarus refinou seus métodos e aumentou seu foco na exploração da confiança entre os profissionais.

O malware usado em ambos os incidentes se assemelha muito ao código usado em outros ataques atribuídos ao Lazarus, especialmente o exploit "dangrouspassword" observado pelos analistas.

Vários fundadores relatam táticas semelhantes nas últimas semanas

O ataque à Farooq faz parte de uma tendência crescente de campanhas sofisticadas de phishing direcionadas a executivos e desenvolvedores de criptomoedas.

Fundadores e membros da equipe da Mon Protocol, Stably e Devdock AI também relataram ter recebido mensagens suspeitas que tentavam atraí-los para ambientes Zoom comprometidos.

Em 11 de março, Nick Bax, da Security Alliance, compartilhou um detalhamento da estratégia de phishing vinculada ao Lazarus em um post no X, descrevendo como os invasores usam conexões sociais genuínas, juntamente com videoconferência, para instalar ferramentas de acesso remoto e roubar criptoativos.

Farooq compartilhou que, embora a perda tenha sido substancial, vários hackers whitehat e membros da comunidade de segurança de criptomoedas se apresentaram para ajudá-lo a rastrear o que aconteceu.

Embora os fundos roubados ainda não tenham sido recuperados, o incidente ressaltou a importância de verificar identidades em várias plataformas e evitar instalações de software externo solicitadas durante as videochamadas.