Zeharkako protokoloak eta Web3 enpresek hacker taldeen xede izaten jarraitzen dute, deBridge Finance-k Ipar Koreako Lazarus Group hackerren ezaugarriak dituen eraso porrot bat desegiten baitu.
deBridge Finance-ko langileek Alex Smirnov sortzailekidearen beste mezu arrunt bat zirudiena jaso zuten ostiral arratsaldean. "Soldata Doikuntza Berriak" izeneko eranskin batek interesa piztu zuen, hainbat kriptomoneta-enpresekin langileen kaleratzeak eta soldata murrizketak ezarriz Etengabeko kriptografia-moneta neguan.
Langile gutxi batzuek mezu elektronikoa eta haren eranskina susmagarritzat jo zituzten, baina langile batek amua hartu eta PDF fitxategia deskargatu zuen. Hau kasualitatea izango litzateke, deBridge taldeak Smirnov-en ispilurako diseinatutako helbide elektroniko faltsu batetik bidalitako eraso-bektorea desegitean lan egin baitzuen.
Kofundatzaileak phishing-erasoaren saiakeraren korapilatsuetan sakondu zuen ostiralean argitaratutako Twitter-eko hari luze batean, kriptografia-moneta zabalagoarentzat eta Web3 komunitatearentzat zerbitzu publikoaren iragarki gisa jokatuz:
1/ @deBridgeFinance zibereraso saiakera baten gaia izan da, antza, Lazarus taldearen eskutik.
Web3-ko talde guztientzako PSA, litekeena da kanpaina hau hedatuta egotea. pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__) Abuztua 5, 2022
Smirnov-en taldeak adierazi zuen erasoak ez zituela macOS erabiltzaileak kutsatuko, Mac batean esteka irekitzeko saiakerak Adjustments.pdf PDF fitxategi arruntarekin zip artxibo batera eramaten baititu. Hala ere, Windows-en oinarritutako sistemak arriskuan daude Smirnovek azaldu duenez:
"Eraso-bektorea honako hau da: erabiltzaileak esteka irekitzen du posta elektronikotik, deskargatu eta artxiboa irekitzen du, PDFa irekitzen saiatzen da, baina PDF-k pasahitza eskatzen du. Erabiltzaileak password.txt.lnk irekitzen du eta sistema osoa infektatzen du."
Testu-fitxategiak kaltea egiten du, sistema birusen aurkako softwarea egiaztatzen duen cmd.exe komando bat exekutatuz. Sistema babestuta ez badago, asmo txarreko fitxategia autostart karpetan gordetzen da eta erasotzailearekin komunikatzen hasten da argibideak jasotzeko.
Erlazionatua: 'Inork ez ditu eusten» — Ipar Koreako ziber-erasoen mehatxua gora egiten du
DeBridge taldeak scriptari jarraibideak jasotzeko baimena eman zion, baina edozein komando exekutatzeko gaitasuna baliogabetu zuen. Honek agerian utzi zuen kodeak sistemari buruzko informazio zati bat biltzen duela eta erasotzaileei esportatzen duela. Egoera normalean, hackerrek kodea exekutatu ahal izango lukete kutsatutako makinan puntu honetatik aurrera.
Smirnov lotuta Fitxategi-izen berberak erabiltzen zituen Lazarus Taldeak egindako phishing-erasoen aurreko ikerketara itzuli:
#DangerousPasword (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – gainjartzen diren azpiegiturak @h2jaziren txioa eta aurreko kanpainak ere bai.
d73e832c84c45c3faa9495b39833adb2
Soldata Egokitzapen Berriak.pdf https://t.co/kDyGXvnFaz- Banshee Queen Strahdslayer (@cyberoverdrive) Uztaila 21, 2022
2022an bat ikusi du gurutze-zubi hack-en gorakada Chainalysis blockchain azterketa enpresak nabarmendu duenez. Kriptografia-moneta 2 milioi dolar baino gehiago izan dira aurten 13 eraso ezberdinetan, lapurtutako funtsen ia % 70 suposatuz. Axie Infinity-ren Ronin zubia izan da orain arteko kolperik txarrena, 612 milioi dolar galdu zituen hackerren aurka 2022ko martxoan.
Iturria: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group