Se pare că hackerii afiliați grupului Lazarus din Coreea de Nord folosesc aproximativ 500 de domenii de phishing pentru a înșela victimele într-un mare efort de phishing care țintește investitorii de NFT-uri.
Grupurile de Amenințări Persistente Avansate (APT) din Coreea de Nord
Grupurile APT din Coreea de Nord au folosit strategii pentru a înșela investitorii în NFT-uri și a-i separa de NFT-urile lor, conform unui raport publicat de compania de securitate blockchain SlowMist. Aceste strategii au inclus utilizarea unor site-uri false care imitau diverse platforme și proiecte NFT, cum ar fi OpenSea, X2Y2 și Rarible.
Printre acestea se numără și un site care se preface a fi un proiect pentru Cupa Mondială și alte site-uri care imită alte proiecte NFT bine cunoscute.
Also, the same North Korean cyber actors responsible for the massive Naver phishing campaign first documented by @prevailion are also behind this campaign.
https://t.co/8yJWuTTDCi— SlowMist (@SlowMist_Team) December 24, 2022
Una dintre strategiile folosite este aceea de a oferi prin intermediul acestor site-uri false „mint-uri rău intenționate”, păcălindu-i pe utilizatori să creadă că mintează NFT-uri reale, conectându-și portofelele la site.
Deoarece NFT-ul este de fapt o țeapă, portofelul victimelor devine acum accesibil pentru hackeri care au obținut acces la el.
În plus, analiza a arătat că multe dintre site-urile de phishing au avut același Internet Protocol (IP), 372 de site-uri de phishing NFT împărțind un singur IP și alte 320 de site-uri de phishing NFT folosind un IP diferit.
Unul dintre cele mai vechi nume de domenii înregistrate a fost acum aproximativ șapte luni, potrivit SlowMist, care a spus că campania de phishing a fost în curs de desfășurare de ceva timp.
Hackerii au colectat datele vizitatorilor de pe site-urile externe
Utilizarea colectării de date ale vizitatorilor și stocării datelor pe site-uri externe, utilizarea unui cale de cerere HTTP pentru lista de prețuri pentru elementele NFT și conectarea fotografiilor la proiectele țintă au fost tehnici de phishing unice suplimentare utilizate de grup.
Analizând comportamentul codului, SlowMist a descoperit că odată ce hackerul are datele vizitatorilor, acesta va utiliza o varietate de scripturi de atac pentru a ținti victima, oferindu-i acces la portofelele sale de plug-in, aprobări și înregistrări, precum și la informații sensibile precum înregistrarea de aprobare și sigData a victimei.
Cu accesul la portofelul victimei posibil prin toate aceste informații, hackerul poate vedea toate activele sale digitale.
Întrucât studiul a examinat doar o mică parte din material și a analizat doar câteva dintre caracteristicile de phishing ale hackerilor nord-coreeni, SlowMist subliniază că acesta este doar „vârful aisbergului”.
Cercetările SlowMist Technology privind frauda prin phishing
În postarea sa, SlowMist a declarat că există mai mulți vectori de atac, dar din motive de confidențialitate și securitate, accentul lor se va concentra pe phishingul NFT.
🚨SlowMist Security Alert🚨
North Korean APT group targeting NFT users with large-scale phishing campaign
This is just the tip of the iceberg. Our thread only covers a fraction of what we've discovered.
Let's dive in pic.twitter.com/DeHq1TTrrN
— SlowMist (@SlowMist_Team) December 24, 2022
Compania s-a referit la un tweet din 4 septembrie al unui utilizator de Twitter cu numele de cont PhantomXsec, care a indicat grupul nord-coreean APT ca fiind responsabil pentru crypto phishing și campanii care implică peste 190 de domenii.
De exemplu, un cont de phishing a reușit să beneficieze de 1.055 de NFT-uri și să câștige aproape 300 Ether prin vânzarea acestora, totalizând 367.000 de dolari prin tehnicile sale de phishing. De asemenea, a afirmat că operațiunea de phishing Naver, care a fost raportată inițial de Prevailion pe 15 martie, a fost realizată de aceeași organizație APT din Coreea de Nord.
În 2022, Coreea de Nord a devenit punctul central al multor furturi de criptomonede. Serviciul Național de Inteligență (NIS) al Coreei de Sud a raportat pe 22 decembrie că Coreea de Nord a furat criptomonede în valoare de 620 de milioane de dolari doar în acest an.
Agenția Națională de Poliție a Japoniei a emis o avertizare pentru întreprinderile de active cripto din țară în octombrie, recomandându-le să fie precaute în fața organizației de hacking din Coreea de Nord. SlowMist pledează pentru creșterea gradului de conștientizare a securității și a capacității de a identifica astfel de pericole înainte de a deveni victima tentativelor de phishing.
