A láncok közötti protokollok és a Web3-cégek továbbra is a hackercsoportok célpontjaivá válnak, miközben a deBridge Finance kibont egy sikertelen támadást, amely az észak-koreai Lazarus Group hackereinek jellemzőit viseli.
A deBridge Finance alkalmazottai egy újabb szokásos e-mailt kaptak Alex Smirnov társalapítójától egy péntek délután. Az „Új fizetésmódosítások” feliratú melléklet felkeltette az érdeklődést különböző kriptovaluta-cégeknél elbocsátások és bércsökkentések bevezetése a folyamatban lévő kriptovaluta tél során.
Egy maroknyi alkalmazott gyanúsként jelölte meg az e-mailt és annak mellékletét, de az egyik munkatárs átvette a csalit, és letöltötte a PDF-fájlt. Ez véletlennek bizonyulna, mivel a deBridge csapata azon dolgozott, hogy kibontsa a támadási vektort, amelyet egy hamis e-mail-címről küldtek, hogy tükrözze Smirnovét.
A társalapító egy hosszú, pénteken közzétett Twitter-szálban mélyedt el az adathalász támadás szövevényeibe, közérdekű közleményként szolgálva a szélesebb kriptovaluta- és Web3-közösség számára:
1/ @deBridgeFinance kibertámadást kíséreltek meg, nyilvánvalóan a Lazarus csoport részéről.
PSA a Web3 összes csapatánál, ez a kampány valószínűleg széles körben elterjedt. pic.twitter.com/P5bxY46O6m
– írta Alex (@AlexSmirnov__) 5. augusztus 2022.
Smirnov csapata megjegyezte, hogy a támadás nem fertőzi meg a macOS-felhasználókat, mivel a hivatkozás megnyitásának kísérlete Mac számítógépen egy zip-archívumhoz vezet, amely az Adjustments.pdf fájlt tartalmazza. A Windows-alapú rendszerek azonban veszélyben vannak, ahogy Smirnov kifejtette:
„A támadási vektor a következő: a felhasználó megnyitja az e-mailből származó hivatkozást, letölti és megnyitja az archívumot, megpróbálja megnyitni a PDF-et, de a PDF jelszót kér. A felhasználó megnyitja a password.txt.lnk fájlt, és megfertőzi az egész rendszert.”
A szöveges fájl okozza a kárt, és egy cmd.exe parancsot hajt végre, amely ellenőrzi, hogy van-e víruskereső szoftver a rendszerben. Ha a rendszer nincs védve, a rosszindulatú fájl az Autostart mappába kerül, és elkezd kommunikálni a támadóval, hogy utasításokat kapjon.
Kapcsolódó:'Senki sem tartja vissza őket” – növekszik az észak-koreai kibertámadások veszélye
A deBridge csapata engedélyezte a szkriptnek, hogy utasításokat kapjon, de érvénytelenítette a parancsok végrehajtásának képességét. Ez feltárta, hogy a kód egy csomó információt gyűjt össze a rendszerről, és exportálja azokat a támadóknak. Normál körülmények között a hackerek ettől a ponttól kezdve képesek lennének kódot futtatni a fertőzött gépen.
Szmirnov összekapcsolt vissza a Lazarus Group által végrehajtott adathalász támadásokkal kapcsolatos korábbi kutatásokhoz, amelyek ugyanazokat a fájlneveket használták:
#DangerousPassword (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – átfedő infrastruktúra a következővel @h2jazitweetjét, valamint korábbi kampányait.
d73e832c84c45c3faa9495b39833adb2
Új bérkorrekciók.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Július 21, 2022
2022-ben a a hídon átívelő feltörések megugrása amint azt a Chainalysis blokklánc-elemző cég kiemelte. Idén 2 különböző támadásban több mint 13 milliárd dollár értékű kriptovalutát dobtak ki, ami az ellopott pénzeszközök közel 70%-át teszi ki. Az Axie Infinity Ronin hídja volt a eddigi legrosszabb találat612 márciusában 2022 millió dollárt veszített a hackerekkel szemben.
Forrás: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group