Lazarus-länkat kryptohack utplånar före detta Animoca-chefs livsbesparingar

Lazarus, en nordkoreansk statsstödd cyberbrottsgrupp, har kopplats till en phishing-attack som resulterade i stöld av en stor del av en tidigare Animoca Brands-chefs kryptoinnehav.

Mehdi Farooq, nu investeringspartner på Hypersphere Ventures, avslöjade att sex av hans kryptovaluta plånböcker tömdes efter att han omedvetet installerat en falsk Zoom-uppdatering.

Den utarbetade bluffen utnyttjade socialt förtroende, professionella nätverk och programvara för videokonferenser för att utföra en av de mest sofistikerade plånboksdränerande attackerna som rapporterats i år.

Hackare utgav sig för att vara kontakter via Telegram och Zoom

Phishing-upplägget började med ett Telegram-meddelande som skickades till Farooq från någon som verkade vara Alex Lin, en känd bekant. Efter lite fram och tillbaka gick Farooq med på ett samtal och delade med sig av sin Calendly-länk för att boka ett möte.

Samma dag som mötet ägde rum skickade samma konto ett nytt meddelande med hänvisning till att det fanns skäl till att flytta konversationen till Zoom Business. Farooq fick veta att en annan känd branschkontakt, Kent, skulle ansluta sig till samtalet.

Zoom-mötet verkade legitimt. Deltagarna hade sina kameror påslagna, men inget ljud hördes. Istället dök ett meddelande upp i möteschatten som förklarade att det fanns tekniska problem och bad Farooq att uppdatera sin Zoom-klient.

Han lydde, och inom några minuter efter att han installerat filen var alla hans sex kryptoplånböcker komprometterade och tömda.

Angriparna använde skadlig kod förklädd till en Zoom-uppdatering för att få tillgång till Farooqs system.

De kommunikations- och sociala ingenjörstekniker som används ligger i linje med tidigare incidenter kopplade till Lazarus Group, en välkänd nordkoreansk hackningsenhet som anklagas för flera värdefulla kryptostölder de senaste åren.

Lazarus länkas genom beteendemönster och typ av skadlig kod

Phishing-attacken bar flera kännetecken för Lazarus verksamhet. Dessa inkluderar imitation av kända branschkontakter, användning av installatörer med skadlig kod och manipulering av videokonferensplattformar.

I det här fallet iscensatte angriparna ett övertygande videosamtal samtidigt som de inaktiverade ljudet, en taktik som kan ha distraherat Farooq från att ifrågasätta situationens legitimitet.

Farooqs erfarenhet kommer bara några veckor efter att ett liknande nätfiskeförsök riktades mot Kenny Li, medgrundare av Manta Network. I det fallet använde angriparna identiska tekniker – falska Zoom-samtal, imiterade kontakter och uppmaningar om nedladdning av skadlig kod.

Li undvek att falla offer genom att föreslå ett byte till en annan kommunikationsplattform, varpå angriparna försvann.

Säkerhetsforskare tror att dessa samordnade attacker tyder på att Lazarus har förfinat sina metoder och ökat sitt fokus på att utnyttja förtroende mellan yrkesverksamma.

Skadlig kod som används i båda incidenterna liknar kod som används i andra Lazarus-tillskrivna attacker, särskilt "dangrouspassword"-exploateringen som noterats av analytiker.

Flera grundare rapporterar liknande taktik de senaste veckorna

Attacken mot Farooq är en del av en växande trend av sofistikerade phishing-kampanjer som riktar sig mot chefer och utvecklare av kryptovaluta.

Grundare och teammedlemmar från Mon Protocol, Stably och Devdock AI har också rapporterat att de fått misstänkta meddelanden som försökte locka dem till komprometterade Zoom-miljöer.

Den 11 mars delade Nick Bax från Security Alliance med sig av en uppdelning av den Lazarus-länkade phishing-strategin i ett inlägg på X, där han beskrev hur angripare använder äkta sociala kontakter, i kombination med videokonferenser, för att installera verktyg för fjärråtkomst och stjäla kryptotillgångar.

Farooq berättade att även om förlusten var betydande, kom flera whitehat-hackare och medlemmar av kryptosäkerhetsgemenskapen fram för att hjälpa honom att spåra vad som hände.

Även om de stulna pengarna ännu inte har återvunnits, har incidenten understrukit vikten av att verifiera identiteter på flera plattformar och undvika externa programvaruinstallationer som uppmanas under videosamtal.