Скрестите цепи, будьте осторожны!deBridge отмечает попытку фишинговой атаки, подозревая Lazarus Group

Кроссчейн-протоколы и фирмы Web3 по-прежнему становятся мишенью хакерских групп, поскольку deBridge Finance раскрывает неудавшуюся атаку, которая имеет отличительные черты северокорейской хакерской группы Lazarus.

В пятницу днем ​​сотрудники deBridge Finance получили похожее на очередное электронное письмо от соучредителя Алекса Смирнова. Приложение под названием «Новые корректировки заработной платы» должно было вызвать интерес, поскольку различные криптовалютные фирмы увольняли сотрудников и сокращали заработную плату во время продолжающейся криптовалютной зимы.

Несколько сотрудников пометили электронное письмо и его вложение как подозрительные, но один сотрудник клюнул на приманку и скачал PDF-файл. Это оказалось случайностью, так как команда deBridge работала над распаковкой вектора атаки, отправленного с поддельного адреса электронной почты, созданного для того, чтобы отражать адрес Смирнова.

Соучредитель углубился в тонкости попытки фишинговой атаки в длинной ветке Twitter, опубликованной 5 августа, выступая в качестве публичного объявления для более широкого сообщества криптовалюты и Web3:

1/ @deBridgeFinance подвергся попытке кибератаки, очевидно, со стороны группы Lazarus. PSA для всех команд в Web3, эта кампания, скорее всего, широко распространена.pic.twitter.com/P5bxY46O6m— deAlex (@AlexSmirnov__) 5 августа 2022 г.

Команда Смирнова отметила, что атака не заразит пользователей macOS, так как попытки открыть ссылку на Mac приводят к zip-архиву с обычным PDF-файлом Adjustments.pdf. Однако системы на базе Windows находятся под угрозой, как объяснил Смирнов:

«Вектор атаки следующий: пользователь открывает ссылку из письма, скачивает и открывает архив, пытается открыть PDF, но PDF запрашивает пароль. Пользователь открывает password.txt.lnk и заражает всю систему».

Текстовый файл наносит ущерб, выполняя команду cmd.exe, которая проверяет систему на наличие антивирусного программного обеспечения. Если система не защищена, вредоносный файл сохраняется в папке автозапуска и начинает общаться с злоумышленником для получения инструкций.

Команда deBridge разрешила скрипту получать инструкции, но аннулировала возможность выполнять любые команды. Это показало, что код собирает множество информации о системе и экспортирует ее злоумышленникам. При нормальных обстоятельствах с этого момента хакеры смогут запускать код на зараженной машине.

Смирнов сослался на более раннее исследование фишинговых атак, проведенных Lazarus Group, в которых использовались те же имена файлов:

#DangerousPassword (CryptoCore/CryptoMimic) #APT: b52e3aaf1bd6e45d695db573abc886dc Password.txt.lnk www[.]googlesheet[.]info — инфраструктура, пересекающаяся с твитом @h2jazi, а также с более ранними кампаниями.d73e832c84c45c3faa9495b39833adb2 Новые корректировки заработной платы.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) 21 июля 2022 г.

В 2022 году наблюдался всплеск хакерских атак, как отмечает аналитическая компания Chainalysis. В этом году в результате 13 различных атак было украдено криптовалют на сумму более 2 миллиардов долларов, что составляет почти 70% украденных средств. Мост Ronin компании Axie Infinity до сих пор пострадал больше всего: в марте 2022 года хакеры потеряли 612 миллионов долларов.