Unakrsni protokoli i Web3 firme i dalje su na meti hakerskih grupa, dok deBridge Finance otkriva neuspjeli napad koji nosi obilježja hakera Lazarus grupe iz Sjeverne Koreje.
Zaposleni u deBridge Finance-u su u petak popodne primili nešto što je izgledalo kao još jedan običan email od suosnivača Alexa Smirnova. Prilog pod nazivom "Nova prilagođavanja plata" morao je izazvati interesovanje kod raznih firmi za kriptovalute uvođenje otpuštanja osoblja i smanjenja plata tokom tekuće zime kriptovaluta.
Nekolicina zaposlenih označila je e-poštu i njen prilog kao sumnjive, ali je jedan član osoblja uhvatio mamac i preuzeo PDF datoteku. Ovo bi se pokazalo slučajnim, jer je deBridge tim radio na raspakiranju vektora napada poslanog sa lažne adrese e-pošte dizajnirane da odražava Smirnovovu.
Suosnivač je ušao u zamršenosti pokušaja phishing napada u dugačkoj niti na Twitteru objavljenoj u petak, djelujući kao najava javnog servisa za širu zajednicu kriptovaluta i Web3:
1/ @deBridgeFinance je bio predmet pokušaja sajber napada, očigledno od strane grupe Lazarus.
PSA za sve timove u Web3, ova kampanja je vjerovatno široko rasprostranjena. pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__) Avgust 5, 2022
Smirnov tim je primetio da napad neće zaraziti korisnike macOS-a, jer pokušaji otvaranja linka na Mac-u vode do zip arhive sa normalnom PDF datotekom Adjustments.pdf. Međutim, sistemi zasnovani na Windows-u su u opasnosti, kako je objasnio Smirnov:
„Vektor napada je sljedeći: korisnik otvara link iz e-pošte, preuzima i otvara arhivu, pokušava otvoriti PDF, ali PDF traži lozinku. Korisnik otvara password.txt.lnk i inficira cijeli sistem.”
Tekstualni fajl čini štetu, izvršavajući naredbu cmd.exe koja provjerava da li u sistemu postoji antivirusni softver. Ako sistem nije zaštićen, zlonamjerna datoteka se pohranjuje u autostart folder i počinje komunicirati s napadačem kako bi primila upute.
Povezano: 'Niko ih ne zadržava' — prijetnja sajber-napada Sjeverne Koreje raste
DeBridge tim je dozvolio skripti da primi instrukcije, ali je poništio mogućnost izvršavanja bilo koje komande. Ovo je otkrilo da kod prikuplja niz informacija o sistemu i izvozi ih napadačima. U normalnim okolnostima, hakeri bi mogli pokrenuti kod na zaraženoj mašini od ove tačke nadalje.
Smirnov povezan nazad na ranije istraživanje phishing napada koje je sprovela Lazarus grupa koja je koristila iste nazive datoteka:
#DangerousPassword (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – infrastruktura koja se preklapa sa @h2jazi's tweet kao i ranije kampanje.
d73e832c84c45c3faa9495b39833adb2
Nova prilagođavanja plata.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Juli 21, 2022
2022 je vidio a porast hakova na cross-bridge kao što je istakla kompanija za analizu blokova Chainalysis. Više od 2 milijarde dolara vrijedne kriptovalute utrošeno je u 13 različitih napada ove godine, što čini skoro 70% ukradenih sredstava. Ronin most kompanije Axie Infinity je bio najteže pogođen do sada, izgubivši 612 miliona dolara od hakera u martu 2022.
Izvor: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group