Notorious Lazarus Group a tenté une cyberattaque, selon le cofondateur de deBridge

Le "Lazarus Group", un syndicat de piratage notoire soutenu par la Corée du Nord, a été identifié comme le coupable d'une tentative de cyberattaque contre deBridge Finance. Le co-fondateur du protocole inter-chaînes et chef de projet, Alex Smirnov, a allégué que le vecteur d'attaque était via un e-mail dans lequel plusieurs membres de l'équipe ont reçu un fichier PDF nommé "New Salary Adjustments" à partir d'une adresse usurpée qui reflétait celle de l'exécutif.

Alors que deBridge Finance a réussi à contrecarrer l'attaque de phishing, Smirnov a averti que la campagne frauduleuse est probablement répandue ciblant les plates-formes axées sur le Web3.

Tentative d'attaque sur deBridge

Selon un long Twitter fil par l'exécutif, la plupart des membres de l'équipe ont immédiatement signalé l'e-mail suspect, mais un a téléchargé et ouvert le fichier. Cela les a aidés à enquêter sur le vecteur d'attaque et à comprendre ses conséquences.

Smirnov a en outre expliqué que les utilisateurs de macOS sont en sécurité, car l'ouverture du lien sur un Mac conduirait à une archive zip avec le fichier PDF normal Adjustments.pdf. D'autre part, les systèmes Windows ne sont pas à l'abri des dangers. Au lieu de cela, les utilisateurs de Windows seront dirigés vers une archive avec un pdf douteux protégé par un mot de passe portant le même nom et un fichier supplémentaire nommé Password.txt.lnk.

Le fichier texte infecterait essentiellement le système. Ainsi, l'absence de logiciel antivirus aidera le fichier malveillant à pénétrer dans la machine et sera enregistré dans le dossier de démarrage automatique, après quoi un simple script commencera à envoyer des demandes répétitives pour communiquer avec l'attaquant afin de recevoir des instructions.

"Le vecteur d'attaque est le suivant : l'utilisateur ouvre un lien depuis un e-mail -> télécharge et ouvre l'archive -> essaie d'ouvrir le PDF, mais le PDF demande un mot de passe -> l'utilisateur ouvre password.txt.lnk et infecte l'ensemble du système."

Le co-fondateur a ensuite exhorté les entreprises et leurs employés à ne jamais ouvrir les pièces jointes aux e-mails sans vérifier l'adresse e-mail complète de l'expéditeur et à disposer d'un protocole interne sur la manière dont les équipes partagent les pièces jointes.

"S'il vous plaît, restez SAFU et partagez ce fil pour informer tout le monde des attaques potentielles."

Les attaquants de Lazarus ciblent la crypto

Les groupes de piratage nord-coréens parrainés par l'État sont tristement célèbres pour avoir mené des attaques à motivation financière. Lazarus, pour sa part, a mené de nombreuses attaques de grande envergure sur les échanges cryptographiques, les marchés NFT et les investisseurs individuels détenant des participations importantes. La dernière attaque semble avoir une ressemblance significative avec les précédentes menées par le syndicat de piratage.

Au milieu de l'épidémie de COVID-19, les cybercrimes dirigés par Lazarus scie une tendance massive à la hausse. Plus récemment, le groupe a volé plus de 620 millions de dollars au pont Ronin d'Axie Infinity plus tôt cette année.

En fait, des rapports ont également révéler que le cyberprogramme du pays est vaste et bien organisé malgré son isolement économique du reste du monde. Selon plusieurs sources gouvernementales américaines, ces entités se sont également adaptées au Web3 et ciblent actuellement l'espace financier décentralisé.