Hack-ul cripto legat de Lazarus șterge economiile de o viață ale fostului director Animoca

Lazarus, un grup de criminalitate cibernetică susținut de statul nord-coreean, a fost legat de un atac de phishing care a dus la furtul unei mari părți din deținerile cripto ale unui fost director Animoca Brands.

Mehdi Farooq, acum partener de investiții la Hypersphere Ventures, a dezvăluit că șase dintre portofelele sale de criptomonede au fost golite după ce a instalat fără să știe o actualizare falsă de Zoom.

Înșelătoria elaborată a exploatat încrederea socială, rețelele profesionale și software-ul de videoconferință pentru a efectua unul dintre cele mai sofisticate atacuri de golire a portofelelor raportate în acest an.

Hackerii au uzurpat identitatea contactelor prin Telegram și Zoom

Schema de phishing a început cu un mesaj Telegram trimis lui Farooq de la cineva care părea a fi Alex Lin, o cunoștință cunoscută. După câteva discuții, Farooq a fost de acord cu un apel și a împărtășit linkul său cu Calendly pentru a programa o întâlnire.

În ziua întâlnirii, același cont a trimis din nou un mesaj, invocând motive de conformitate pentru a muta conversația pe Zoom Business. Farooq a fost informat că un alt contact cunoscut din industrie, Kent, se va alătura apelului.

Întâlnirea Zoom părea legitimă. Participanții aveau camerele pornite, dar nu se auzea niciun sunet. În schimb, a apărut un mesaj în chat-ul întâlnirii care explica că au existat dificultăți tehnice și îi cere lui Farooq să-și actualizeze clientul Zoom.

El s-a conformat, iar la câteva minute de la instalarea fișierului, toate cele șase portofele cripto ale sale au fost compromise și golite.

Atacatorii au folosit malware deghizat într-o actualizare Zoom pentru a obține acces la sistemul Farooq.

Tehnicile de comunicare și inginerie socială utilizate se aliniază cu incidentele anterioare legate de Lazarus Group, o cunoscută unitate de hacking nord-coreeană acuzată de mai multe furturi de criptomonede de mare valoare în ultimii ani.

Lazăr legat prin modele de comportament și tip de malware

Atacul de phishing a purtat mai multe semne distinctive ale operațiunilor Lazarus. Acestea includ uzurparea identității contactelor cunoscute din industrie, utilizarea programelor de instalare cu malware și manipularea platformelor de videoconferință.

În acest caz, atacatorii au organizat un apel video convingător în timp ce dezactivau audio, o tactică care l-ar fi putut distrage pe Farooq de la a pune la îndoială legitimitatea situației.

Experiența lui Farooq vine la doar câteva săptămâni după ce o tentativă similară de phishing l-a vizat pe Kenny Li, co-fondator al Manta Network. În acest caz, atacatorii au folosit tehnici identice - apeluri false pe Zoom, contacte uzurpate și solicitări de descărcare a programelor malware.

Li a evitat să cadă victimă sugerând o trecere la o altă platformă de comunicare, moment în care atacatorii au dispărut.

Cercetătorii în securitate cred că aceste atacuri coordonate indică faptul că Lazarus și-a rafinat metodele și și-a sporit concentrarea pe exploatarea încrederii între profesioniști.

Malware-ul folosit în ambele incidente seamănă foarte mult cu codul folosit în alte atacuri atribuite lui Lazarus, în special exploit-ul "dangrouspassword" menționat de analiști.

Mai mulți fondatori raportează tactici similare în ultimele săptămâni

Atacul asupra Farooq face parte dintr-o tendință în creștere de campanii sofisticate de phishing care vizează directorii și dezvoltatorii de criptomonede.

Fondatorii și membrii echipei de la Mon Protocol, Stably și Devdock AI au raportat, de asemenea, că au primit mesaje suspecte care au încercat să-i atragă în medii Zoom compromise.

Pe 11 martie, Nick Bax de la Security Alliance a împărtășit o defalcare a strategiei de phishing legată de Lazarus într-o postare pe X, subliniind modul în care atacatorii folosesc conexiuni sociale autentice, împreună cu videoconferințele, pentru a instala instrumente de acces la distanță și a fura active cripto.

Farooq a împărtășit că, deși pierderea a fost substanțială, mai mulți hackeri whitehat și membri ai comunității de securitate cripto l-au ajutat să urmărească ceea ce s-a întâmplat.

Deși fondurile furate nu au fost încă recuperate, incidentul a subliniat importanța verificării identităților pe mai multe platforme și evitarea instalărilor de software externe solicitate în timpul apelurilor video.