Il famigerato gruppo Lazarus ha tentato un attacco informatico, sostiene il co-fondatore di deBridge

Il "Gruppo Lazarus", un famigerato sindacato di hacker sostenuto dalla Corea del Nord, è stato identificato come il colpevole di un tentativo di attacco informatico a deBridge Finance. Il co-fondatore del protocollo cross-chain e capo del progetto, Alex Smirnov, ha affermato che il vettore di attacco era tramite un'e-mail in cui diversi membri del team hanno ricevuto un file PDF chiamato "Nuovi aggiustamenti salariali" da un indirizzo contraffatto che rispecchiava quello del dirigente.

Mentre deBridge Finance è riuscita a contrastare l'attacco di phishing, Smirnov ha avvertito che la campagna fraudolenta è probabilmente diffusa e prende di mira le piattaforme incentrate sul Web3.

Tentativo di attacco a deBridge

Secondo un lungo Twitter filo dall'exec, la maggior parte dei membri del team ha immediatamente segnalato l'e-mail sospetta, ma uno ha scaricato e aperto il file. Questo li ha aiutati a indagare sul vettore di attacco e a comprenderne le conseguenze.

Smirnov ha inoltre spiegato che gli utenti macOS sono al sicuro, poiché l'apertura del collegamento su un Mac porterebbe a un archivio zip con il normale file PDF Adjustments.pdf. D'altra parte, i sistemi Windows non sono immuni dai pericoli. Invece, gli utenti Windows verranno indirizzati a un archivio con un pdf protetto da password con lo stesso nome e un file aggiuntivo denominato Password.txt.lnk.

Il file di testo infetterebbe essenzialmente il sistema. Pertanto, la mancanza di software antivirus aiuterà il file dannoso a penetrare nella macchina e verrà salvato nella cartella di avvio automatico, a seguito della quale un semplice script inizierà a inviare richieste ripetitive per comunicare con l'attaccante al fine di ricevere istruzioni.

"Il vettore di attacco è il seguente: l'utente apre un collegamento dall'e-mail -> scarica e apre l'archivio -> tenta di aprire il PDF, ma il PDF richiede una password -> l'utente apre password.txt.lnk e infetta l'intero sistema."

Il co-fondatore ha quindi esortato le aziende ei loro dipendenti a non aprire mai gli allegati e-mail senza verificare l'indirizzo e-mail completo del mittente e ad avere un protocollo interno per la condivisione degli allegati da parte dei team.

"Per favore, rimani SAFU e condividi questo thread per far sapere a tutti i potenziali attacchi."

Gli aggressori di Lazarus prendono di mira le criptovalute

I gruppi di hacker nordcoreani sponsorizzati dallo stato sono famosi per aver condotto attacchi motivati ​​​​finanziariamente. Lazarus, per esempio, ha effettuato molti attacchi di alto profilo a scambi di criptovalute, mercati NFT e singoli investitori con partecipazioni significative. L'ultimo attacco sembra avere una somiglianza significativa con i precedenti condotti dal sindacato degli hacker.

In mezzo all'epidemia di COVID-19, i crimini informatici guidati da Lazarus sega una massiccia tendenza al rialzo. Più recentemente, il gruppo ha rubato oltre 620 milioni di dollari dal ponte Ronin di Axie Infinity all'inizio di quest'anno.

In effetti, anche i rapporti rivelare che il programma informatico del paese è ampio e ben organizzato nonostante sia economicamente isolato dal resto del mondo. Secondo diverse fonti del governo degli Stati Uniti, anche queste entità si sono adattate a Web3 e stanno attualmente prendendo di mira lo spazio finanziario decentralizzato.