Протоколите со вкрстени синџири и фирмите Web3 продолжуваат да бидат цел на хакерски групи, бидејќи deBridge Finance открива неуспешен напад што ги носи белезите на хакерите на севернокорејската групација Лазарус.
Вработените во deBridge Finance добија нешто што изгледаше како уште една обична е-пошта од ко-основачот Алекс Смирнов во петок попладне. Прилогот означен како „Нови корекции на платата“ требаше да предизвика интерес кај различни фирми за криптовалути воведување отпуштања на персоналот и намалување на платите за време на тековната зима на криптовалути.
Неколку вработени ја означиле е-поштата и нејзиниот прилог како сомнителни, но еден член на персоналот ја зел мамката и ја преземал PDF-датотеката. Ова ќе се покаже случајно, бидејќи тимот на deBridge работеше на отпакување на векторот за напад испратен од лажна е-адреса дизајнирана да ја отслика адресата на Смирнов.
Ко-основачот навлезе во сложеноста на обидот за фишинг напад во долгата тема на Твитер објавена во петокот, делувајќи како најава за јавен сервис за пошироката заедница за криптовалути и Web3:
1/ @deBridgeFinance е предмет на обид за сајбер напад, очигледно од групата Лазар.
PSA за сите тимови во Web3, оваа кампања е веројатно широко распространета. pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__) Август 5, 2022
Тимот на Смирнов забележа дека нападот нема да ги зарази корисниците на macOS, бидејќи обидите да се отвори врската на Mac води до зип архива со нормална PDF-датотека Adjustments.pdf. Сепак, системите базирани на Windows се изложени на ризик, како што објасни Смирнов:
„Векторот за напад е следен: корисникот отвора врска од е-пошта, презема и отвора архива, се обидува да отвори PDF, но PDF бара лозинка. Корисникот го отвора password.txt.lnk и го инфицира целиот систем.
Текстуалната датотека ја прави штетата, извршувајќи команда cmd.exe која го проверува системот за антивирусен софтвер. Ако системот не е заштитен, злонамерната датотека се зачувува во папката за автоматско стартување и почнува да комуницира со напаѓачот за да прима инструкции.
Поврзано: 'Никој не ги кочи“ - се зголемува заканата за сајбер напади од Северна Кореја
Тимот на deBridge дозволи скриптата да прима инструкции, но ја поништи можноста за извршување на какви било команди. Ова откри дека кодот собира дел од информации за системот и ги извезува до напаѓачите. Во нормални околности, хакерите би можеле да стартуваат код на заразената машина од овој момент па натаму.
Смирнов поврзани назад на претходното истражување за фишинг напади извршени од Лазар Груп, кои ги користеа истите имиња на датотеки:
#Опасна лозинка (CryptoCore/CryptoMimimic) #АПТ:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – преклопувачка инфраструктура со @h2jaziтвитот на, како и претходните кампањи.
d73e832c84c45c3faa9495b39833adb2
Нови корекции на плата.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Јули 21, 2022
2022 година се виде а наплив на хакери преку мостови како што е нагласено од фирмата за анализа на блокчејн Chainalysis. Криптовалути во вредност од над 2 милијарди долари се избришани во 13 различни напади оваа година, што претставува речиси 70% од украдените средства. Ронинскиот мост на Axie Infinity е најтешко погодено досега, губејќи 612 милиони долари од хакери во март 2022 година.
Извор: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group