Os protocolos de cadeia cruzada e as empresas Web3 continuam sendo alvo de grupos de hackers, enquanto a deBridge Finance descompacta um ataque fracassado que traz as marcas dos hackers do Lazarus Group da Coréia do Norte.
Os funcionários da deBridge Finance receberam o que parecia ser outro e-mail comum do cofundador Alex Smirnov em uma tarde de sexta-feira. Um anexo chamado “Novos ajustes salariais” certamente despertaria interesse, com várias empresas de criptomoedas demissões de funcionários e cortes salariais durante o inverno de criptomoedas em andamento.
Alguns funcionários sinalizaram o e-mail e seu anexo como suspeitos, mas um membro da equipe mordeu a isca e baixou o arquivo PDF. Isso seria fortuito, pois a equipe deBridge trabalhou para descompactar o vetor de ataque enviado de um endereço de e-mail falso projetado para espelhar o de Smirnov.
O cofundador aprofundou os meandros da tentativa de ataque de phishing em um longo tópico do Twitter postado na sexta-feira, atuando como um anúncio de serviço público para a comunidade mais ampla de criptomoedas e Web3:
1/ @deBridgeFinance foi alvo de uma tentativa de ataque cibernético, aparentemente pelo grupo Lazarus.
PSA para todas as equipes na Web3, esta campanha provavelmente é generalizada. pic.twitter.com/P5bxY46O6m
-deAlex (@AlexSmirnov__) 5 de agosto de 2022
A equipe de Smirnov observou que o ataque não infectaria os usuários do macOS, pois as tentativas de abrir o link em um Mac levam a um arquivo zip com o arquivo PDF normal Adjustments.pdf. No entanto, os sistemas baseados em Windows estão em risco, como explicou Smirnov:
“O vetor de ataque é o seguinte: o usuário abre o link do e-mail, baixa e abre o arquivo, tenta abrir o PDF, mas o PDF pede uma senha. O usuário abre password.txt.lnk e infecta todo o sistema.”
O arquivo de texto causa o dano, executando um comando cmd.exe que verifica se há software antivírus no sistema. Se o sistema não estiver protegido, o arquivo malicioso é salvo na pasta de autoinicialização e começa a se comunicar com o invasor para receber instruções.
Relacionado: 'Ninguém os está retendo' — aumenta a ameaça de ataque cibernético norte-coreano
A equipe deBridge permitiu que o script recebesse instruções, mas anulou a capacidade de executar qualquer comando. Isso revelou que o código coleta uma série de informações sobre o sistema e as exporta para os invasores. Em circunstâncias normais, os hackers seriam capazes de executar o código na máquina infectada a partir deste ponto.
Smirnov ligado de volta a pesquisas anteriores sobre ataques de phishing realizados pelo Grupo Lazarus que usavam os mesmos nomes de arquivo:
#Senha Perigosa (CryptoCore/CryptoMimic) #PTA:
b52e3aaf1bd6e45d695db573abc886dc
Senha.txt.lnkwww[.]googlesheet[.]info – infraestrutura sobreposta com @h2jazi's tweet, bem como campanhas anteriores.
d73e832c84c45c3faa9495b39833adb2
Novos Ajustes Salariais.pdf https://t.co/kDyGXvnFaz— A Rainha Banshee Strahdslayer (@cyberoverdrive) 21 de julho de 2022
2022 viu um aumento de hacks em pontes cruzadas conforme destacado pela empresa de análise de blockchain Chainalysis. Mais de US$ 2 bilhões em criptomoedas foram roubados em 13 ataques diferentes este ano, representando quase 70% dos fundos roubados. A ponte Ronin do Axie Infinity tem sido a pior golpe até agora, perdendo US$ 612 milhões para hackers em março de 2022.
Fonte: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group