Los protocolos de cadenas cruzadas y las empresas de Web3 continúan siendo el objetivo de los grupos de piratería, mientras deBridge Finance revela un ataque fallido que lleva el sello de los piratas informáticos del Grupo Lazarus de Corea del Norte.
Los empleados de deBridge Finance recibieron lo que parecía otro correo electrónico ordinario del cofundador Alex Smirnov un viernes por la tarde. Un archivo adjunto etiquetado como "Nuevos ajustes salariales" seguramente despertaría interés, con varias empresas de criptomonedas instituir despidos de personal y recortes salariales durante el invierno de criptomonedas en curso.
Un puñado de empleados marcó el correo electrónico y su archivo adjunto como sospechosos, pero un miembro del personal mordió el anzuelo y descargó el archivo PDF. Esto resultaría fortuito, ya que el equipo de deBridge trabajó para descomprimir el vector de ataque enviado desde una dirección de correo electrónico falsa diseñada para reflejar la de Smirnov.
El cofundador profundizó en las complejidades del intento de ataque de phishing en un extenso hilo de Twitter publicado el viernes, actuando como un anuncio de servicio público para la comunidad más amplia de criptomonedas y Web3:
1/ @deBridgeFinanzas ha sido objeto de un intento de ciberataque, aparentemente por parte del grupo Lazarus.
PSA para todos los equipos en Web3, es probable que esta campaña se generalice. pic.twitter.com/P5bxY46O6m
— porAlex (@AlexSmirnov__) 5 de agosto de 2022
El equipo de Smirnov señaló que el ataque no infectaría a los usuarios de macOS, ya que los intentos de abrir el enlace en una Mac conducen a un archivo zip con el archivo PDF normal Adjustments.pdf. Sin embargo, los sistemas basados en Windows están en riesgo, como explicó Smirnov:
“El vector de ataque es el siguiente: el usuario abre el enlace del correo electrónico, descarga y abre el archivo, intenta abrir el PDF, pero el PDF solicita una contraseña. El usuario abre password.txt.lnk e infecta todo el sistema”.
El archivo de texto hace el daño, ejecutando un comando cmd.exe que verifica el sistema en busca de software antivirus. Si el sistema no está protegido, el archivo malicioso se guarda en la carpeta de inicio automático y comienza a comunicarse con el atacante para recibir instrucciones.
Relacionado: 'Nadie los detiene': aumenta la amenaza de ciberataques de Corea del Norte
El equipo de deBridge permitió que el script recibiera instrucciones, pero anuló la capacidad de ejecutar cualquier comando. Esto reveló que el código recopila una gran cantidad de información sobre el sistema y la exporta a los atacantes. En circunstancias normales, los piratas informáticos podrían ejecutar el código en la máquina infectada a partir de este momento.
Smírnov vinculado Volvamos a una investigación anterior sobre ataques de phishing llevados a cabo por el Grupo Lazarus que utilizaba los mismos nombres de archivo:
#ContraseñaPeligrosa (CryptoCore/CryptoMimic) #APTO:
b52e3aaf1bd6e45d695db573abc886dc
Contraseña.txt.lnkwww[.]googlesheet[.]info: infraestructura superpuesta con @h2jaziEl tweet de así como campañas anteriores.
d73e832c84c45c3faa9495b39833adb2
Nuevos Ajustes Salariales.pdf https://t.co/kDyGXvnFaz— La Banshee Queen Strahdslayer (@cyberoverdrive) 21 de Julio de 2022
2022 ha visto un aumento de hacks de puentes cruzados como lo destaca la firma de análisis de blockchain Chainalysis. Se han estafado más de 2 millones de dólares en criptomonedas en 13 ataques diferentes este año, lo que representa casi el 70 % de los fondos robados. El puente Ronin de Axie Infinity ha sido el el peor golpe hasta ahora, perdiendo $ 612 millones a manos de piratas informáticos en marzo de 2022.
Fuente: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group