Kedjeöverskridande protokoll och Web3-företag fortsätter att vara måltavla av hackergrupper, eftersom deBridge Finance packar upp en misslyckad attack som bär kännetecken för Nordkoreas Lazarus Group-hackare.
deBridge Finance-anställda fick något som såg ut som ännu ett vanligt mejl från medgrundaren Alex Smirnov på en fredagseftermiddag. En bilaga märkt "Nya lönejusteringar" var skyldig att väcka intresse hos olika kryptovalutaföretag införa uppsägningar och lönesänkningar under den pågående kryptovaluta-vintern.
En handfull anställda flaggade e-postmeddelandet och dess bilaga som misstänkta, men en anställd tog betet och laddade ner PDF-filen. Detta skulle visa sig vara slumpmässigt, eftersom deBridge-teamet arbetade med att packa upp attackvektorn som skickades från en falsk e-postadress utformad för att spegla Smirnovs.
Medgrundaren grävde ner sig i krångligheterna i försöket till nätfiskeattack i en lång Twitter-tråd som publicerades på fredagen, och fungerade som ett public service-meddelande för den bredare kryptovalutan och Web3-gemenskapen:
1/ @deBridgeFinance har varit föremål för ett försök till cyberattack, uppenbarligen av Lazarus-gruppen.
PSA för alla team i Web3, denna kampanj är sannolikt utbredd. pic.twitter.com/P5bxY46O6m
— från Alex (@AlexSmirnov__) Augusti 5, 2022
Smirnovs team noterade att attacken inte skulle infektera macOS-användare, eftersom försök att öppna länken på en Mac leder till ett zip-arkiv med den vanliga PDF-filen Adjustments.pdf. Men Windows-baserade system är i riskzonen som Smirnov förklarade:
"Attackvektorn är som följer: användaren öppnar länk från e-post, laddar ner och öppnar arkiv, försöker öppna PDF, men PDF ber om ett lösenord. Användaren öppnar password.txt.lnk och infekterar hela systemet."
Textfilen gör skadan genom att köra ett cmd.exe-kommando som kontrollerar systemet för antivirusprogram. Om systemet inte är skyddat sparas den skadliga filen i autostart-mappen och börjar kommunicera med angriparen för att få instruktioner.
Relaterad: 'Ingen håller dem tillbaka' — Nordkoreanskt hot om cyberangrepp ökar
DeBridge-teamet tillät skriptet att ta emot instruktioner men upphävde möjligheten att utföra alla kommandon. Detta avslöjade att koden samlar in en mängd information om systemet och exporterar den till angripare. Under normala omständigheter skulle hackarna kunna köra kod på den infekterade maskinen från denna tidpunkt och framåt.
Smirnov kopplade tillbaka till tidigare forskning om nätfiskeattacker utförda av Lazarus Group som använde samma filnamn:
#Farligt lösenord (CryptoCore/CryptoMimic) #BENÄGEN:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – överlappande infrastruktur med @h2jazis tweet samt tidigare kampanjer.
d73e832c84c45c3faa9495b39833adb2
Nya lönejusteringar.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Juli 21, 2022
2022 har sett en uppsving i cross-bridge hacks som framhållits av blockkedjeanalysföretaget Chainalysis. Över 2 miljarder dollar i kryptovaluta har släppts i 13 olika attacker i år, vilket står för nästan 70 % av stulna pengar. Axie Infinitys Ronin-bro har varit den värst drabbat hittills, förlorade 612 miljoner dollar till hackare i mars 2022.
Källa: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group