Cross-chain Protokoller a Web3 Firmen gi weider vun Hackinggruppen gezielt, well deBridge Finance e gescheitert Attack auspackt, deen d'Markenzeeche vun den Nordkorea Lazarus Group Hacker dréit.
deBridge Finance Mataarbechter kruten e Freideg Nomëtteg wat wéi eng aner normal E-Mail vum Matgrënner Alex Smirnov ausgesäit. En Uschloss mam Label "New Salary Adjustments" war gebonnen fir Interessi z'erreechen, mat verschiddene cryptocurrency Firmen Entloossunge vu Personal a Bezuelen ze reduzéieren während dem lafende cryptocurrency Wanter.
Eng Handvoll Mataarbechter hunn d'E-Mail a seng Uschloss als verdächteg markéiert, awer ee Mataarbechter huet de Köder geholl an d'PDF-Datei erofgelueden. Dëst géif zoufälleg beweisen, well d'DeBridge Team geschafft huet fir den Attackvektor auszepaken, déi vun enger Spoof-E-Mailadress geschéckt gouf, fir dem Smirnov seng ze spigelen.
De Matgrënner huet sech an d'Intricacies vum versichte Phishing-Attack an engem laangen Twitter-Thread gepost, deen e Freideg gepost gouf, als ëffentlech Service Ukënnegung fir déi breet cryptocurrency a Web3 Gemeinschaft:
1/ @deBridgeFinance gouf de Sujet vun engem versichten Cyberattack, anscheinend vun der Lazarus-Grupp.
PSA fir all Teams am Web3, dës Kampagne ass méiglecherweis verbreet. pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__) August 5, 2022
D'Smirnov Team huet festgestallt datt d'Attack net macOS Benotzer infizéiert, well Versuche fir de Link op engem Mac opzemaachen féiert zu engem Zip-Archiv mat der normaler PDF-Datei Adjustments.pdf. Wéi och ëmmer, Windows-baséiert Systemer sinn a Gefor wéi Smirnov erkläert:
"Den Attackvektor ass wéi follegt: de Benotzer mécht de Link vun der E-Mail op, downloadt & mécht Archiv op, probéiert PDF opzemaachen, awer PDF freet e Passwuert. De Benotzer mécht password.txt.lnk op an infizéiert de ganze System.
D'Textdatei mécht de Schued, e Kommando cmd.exe auszeféieren deen de System fir Anti-Virus Software kontrolléiert. Wann de System net geschützt ass, gëtt déi béiswëlleg Datei am Autostart-Ordner gespäichert a fänkt un mam Ugräifer ze kommunizéieren fir Instruktiounen ze kréien.
Zesummenhang: 'Keen hält se zréck' - Nordkoreanesch Cyberattack Bedrohung klëmmt
D'deBridge Team huet de Skript erlaabt Instruktiounen ze kréien awer huet d'Fäegkeet annuléiert fir all Kommandoen auszeféieren. Dëst huet opgedeckt datt de Code e Stéck Informatioun iwwer de System sammelt an et un Ugräifer exportéiert. Ënner normalen Ëmstänn kënnen d'Hacker vun dësem Punkt un de Code op der infizéierter Maschinn lafen.
Smirnov Zesummenhang zréck op fréier Fuerschung iwwer Phishing-Attacke vun der Lazarus Group déi déiselwecht Dateinumm benotzt hunn:
#DangerousPasswuert (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info - iwwerlappend Infrastruktur mat @h2jazisäin Tweet wéi och fréier Kampagnen.
d73e832c84c45c3faa9495b39833adb2
Nei Gehaltsanpassungen.pdf https://t.co/kDyGXvnFaz- The Banshee Queen Strahdslayer (@cyberoverdrive) Juli 21, 2022
2022 huet eng gesinn Iwwerschwemmung an Kräiz-Bréck Hacks wéi beliicht vun der Blockchain Analysefirma Chainalysis. Iwwer $ 2 Milliarde Wäert vun cryptocurrency gouf an 13 verschidden Attacken dëst Joer fleeced, fir bal 70% vun geklaut Fongen ausmaachen. Axie Infinity's Ronin Bréck ass den schlëmmste Hit bis elo, verléiert $612 Milliounen un Hacker am Mäerz 2022.
Quell: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group