Ang mga cross-chain na protocol at Web3 na kumpanya ay patuloy na tina-target ng mga grupo ng pag-hack, habang binubuksan ng deBridge Finance ang isang nabigong pag-atake na nagtataglay ng mga tanda ng mga hacker ng Lazarus Group ng North Korea.
Nakatanggap ang mga empleyado ng deBridge Finance ng mukhang isa pang ordinaryong email mula sa co-founder na si Alex Smirnov noong Biyernes ng hapon. Ang isang attachment na may label na "Bagong Salary Adjustments" ay tiyak na magbibigay ng interes, kasama ang iba't ibang mga cryptocurrency firm pagtatanggal ng mga kawani at pagbawas sa suweldo sa panahon ng patuloy na taglamig ng cryptocurrency.
Na-flag ng ilang empleyado ang email at ang attachment nito bilang kahina-hinala, ngunit kinuha ng isang kawani ang pain at na-download ang PDF file. Ito ay mapatunayang hindi totoo, dahil ang deBridge team ay nagtrabaho sa pag-unpack ng attack vector na ipinadala mula sa isang spoof email address na idinisenyo upang i-mirror ang Smirnov's.
Tinuklas ng co-founder ang mga masalimuot ng tangkang pag-atake ng phishing sa isang mahabang Twitter thread na nai-post noong Biyernes, na kumikilos bilang isang anunsyo ng serbisyo publiko para sa mas malawak na cryptocurrency at komunidad ng Web3:
1/ @deBridgeFinance ay naging paksa ng isang tangkang cyberattack, tila ng grupong Lazarus.
PSA para sa lahat ng mga koponan sa Web3, malamang na laganap ang kampanyang ito. pic.twitter.com/P5bxY46O6m
— mula kayAlex (@AlexSmirnov__) Agosto 5, 2022
Napansin ng koponan ni Smirnov na ang pag-atake ay hindi makakahawa sa mga gumagamit ng macOS, dahil ang mga pagtatangka na buksan ang link sa isang Mac ay humahantong sa isang zip archive na may normal na PDF file na Adjustments.pdf. Gayunpaman, ang mga sistemang nakabatay sa Windows ay nasa panganib gaya ng ipinaliwanag ni Smirnov:
“Ang vector ng pag-atake ay ang mga sumusunod: nagbubukas ang user ng link mula sa email, nag-download at nagbukas ng archive, sinusubukang buksan ang PDF, ngunit humihingi ng password ang PDF. Binuksan ng user ang password.txt.lnk at na-infect ang buong system.”
Ang text file ay nagdudulot ng pinsala, na nagpapatupad ng isang cmd.exe command na sumusuri sa system para sa anti-virus software. Kung hindi protektado ang system, ise-save ang malisyosong file sa folder ng autostart at magsisimulang makipag-ugnayan sa umaatake upang makatanggap ng mga tagubilin.
Kaugnay: 'Walang pumipigil sa kanila' — tumaas ang banta ng cyber-attack ng North Korea
Pinahintulutan ng pangkat ng deBridge ang script na makatanggap ng mga tagubilin ngunit pinawalang-bisa ang kakayahang magsagawa ng anumang mga utos. Inihayag nito na ang code ay nangongolekta ng isang bahagi ng impormasyon tungkol sa system at ini-export ito sa mga umaatake. Sa ilalim ng normal na mga pangyayari, ang mga hacker ay maaaring magpatakbo ng code sa nahawaang makina mula sa puntong ito.
Smirnov na naka-link bumalik sa naunang pananaliksik sa mga pag-atake ng phishing na isinagawa ng Lazarus Group na gumamit ng parehong mga pangalan ng file:
#DangerousPassword (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – nagsasapawan ng imprastraktura sa @h2jazitweet ni pati na rin ang mga naunang kampanya.
d73e832c84c45c3faa9495b39833adb2
Bagong Salary Adjustments.pdf https://t.co/kDyGXvnFaz— Ang Banshee Queen Strahdslayer (@cyberoverdrive) Hulyo 21, 2022
2022 ay nakakita ng a surge sa cross-bridge hacks bilang naka-highlight ng blockchain analysis firm na Chainalysis. Mahigit sa $2 bilyong halaga ng cryptocurrency ang na-fleeced sa 13 iba't ibang pag-atake ngayong taon, na nagkakahalaga ng halos 70% ng mga ninakaw na pondo. Ang Ronin bridge ng Axie Infinity ay naging ang worst hit sa ngayon, nawalan ng $612 milyon sa mga hacker noong Marso 2022.
Pinagmulan: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group