Protokollet e ndërlidhura me zinxhirë dhe firmat Web3 vazhdojnë të jenë në shënjestër të grupeve të hakerëve, pasi deBridge Finance zbulon një sulm të dështuar që mban shenjat dalluese të hakerëve të grupit Lazarus të Koresë së Veriut.
Punonjësit e deBridge Finance morën atë që dukej si një email tjetër i zakonshëm nga bashkëthemeluesi Alex Smirnov të premten pasdite. Një shtojcë e etiketuar "Rregullimet e reja të pagave" ishte e detyruar të ngjallte interes, me firma të ndryshme të kriptomonedhave duke vendosur pushime nga puna dhe shkurtime pagash gjatë dimrit të vazhdueshëm të kriptomonedhave.
Një pjesë e vogël e punonjësve e cilësuan emailin dhe bashkëngjitjen e tij si të dyshimta, por një anëtar i stafit mori karremin dhe shkarkoi skedarin PDF. Kjo do të rezultonte e rastësishme, pasi ekipi i deBridge punoi në zbërthimin e vektorit të sulmit të dërguar nga një adresë emaili false e krijuar për të pasqyruar atë të Smirnov.
Bashkëthemeluesi u thellua në ndërlikimet e tentativës së sulmit phishing në një postim të gjatë në Twitter të postuar të Premten, duke vepruar si një njoftim i shërbimit publik për komunitetin më të gjerë të kriptomonedhës dhe Web3:
1/ @deBridgeFinance ka qenë subjekt i një tentative sulmi kibernetik, me sa duket nga grupi Lazarus.
PSA për të gjitha ekipet në Web3, kjo fushatë ka të ngjarë të jetë e përhapur. pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__) Gusht 5, 2022
Ekipi i Smirnov vuri në dukje se sulmi nuk do të infektonte përdoruesit e macOS, pasi përpjekjet për të hapur lidhjen në një Mac çojnë në një arkiv zip me skedarin normal PDF Adjustments.pdf. Sidoqoftë, sistemet e bazuara në Windows janë në rrezik siç shpjegoi Smirnov:
“Vektori i sulmit është si më poshtë: përdoruesi hap lidhjen nga emaili, shkarkon dhe hap arkivin, përpiqet të hapë PDF, por PDF kërkon një fjalëkalim. Përdoruesi hap password.txt.lnk dhe infekton të gjithë sistemin.”
Skedari i tekstit bën dëmin, duke ekzekutuar një komandë cmd.exe e cila kontrollon sistemin për softuer antivirus. Nëse sistemi nuk është i mbrojtur, skedari me qëllim të keq ruhet në dosjen e nisjes automatike dhe fillon të komunikojë me sulmuesin për të marrë udhëzime.
Të lidhura: 'Askush nuk po i pengon ata' - Kërcënimi i sulmeve kibernetike të Koresë së Veriut rritet
Ekipi i deBridge lejoi që skripti të merrte udhëzime, por anuloi aftësinë për të ekzekutuar çdo komandë. Kjo zbuloi se kodi mbledh një pjesë të informacionit rreth sistemit dhe e eksporton atë te sulmuesit. Në rrethana normale, hakerët do të jenë në gjendje të ekzekutojnë kodin në makinën e infektuar nga kjo pikë e tutje.
Smirnov i lidhur kthehu te kërkimet e mëparshme mbi sulmet e phishing të kryera nga Grupi Lazarus i cili përdorte të njëjtat emra skedarësh:
#Fjalëkalim i rrezikshëm (CryptoCore/CryptoMimimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Fjalëkalimi.txt.lnkwww[.]googlesheet[.]info – mbivendosja e infrastrukturës me @h2jazicicërima e tij si dhe fushatat e mëparshme.
d73e832c84c45c3faa9495b39833adb2
Rregullime të reja pagash.pdf https://t.co/kDyGXvnFaz— Mbretëresha Banshee Strahdslayer (@cyberoverdrive) Korrik 21, 2022
2022 ka parë një rritja e hakimeve të kryqëzuara siç theksohet nga firma e analizës së blockchain Chainalysis. Mbi 2 miliardë dollarë kriptovaluta është shfrytëzuar në 13 sulme të ndryshme këtë vit, duke përbërë gati 70% të fondeve të vjedhura. Ura Ronin e Axie Infinity ka qenë goditja më e rëndë deri tani, duke humbur 612 milionë dollarë nga hakerat në mars 2022.
Burimi: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attemptted-phishing-attack-suspects-lazarus-group