" Сообщается, что хакеры, связанные с северокорейской группой Lazarus, стоят за масштабной фишинговой кампанией, нацеленной на инвесторов, использующих невзаимозаменяемые токены (NFT), с использованием почти 500 фишинговых доменов для обмана жертв.
24 декабря компания SlowMist, занимающаяся безопасностью блокчейна, опубликовала отчет, в котором раскрывается тактика, которую северокорейские группы Advanced Persistent Threat (APT) использовали для кражи NFT у законных держателей, включая веб-сайты-приманки, замаскированные под различные платформы и проекты, связанные с NFT.
Примеры этих поддельных веб-сайтов включают сайт, выдающий себя за проект, связанный с чемпионатом мира по футболу, а также сайты, которые выдают себя за известные торговые площадки NFT, такие как OpenSea, X2Y2 и Rarible.
SlowMist пишет, что одна из используемых тактик заключалась в том, что эти веб-сайты-приманки предлагали «вредоносные минтинги» – это когда жертва думает, что чеканит законный NFT, подключая свой кошелек к веб-сайту.
Однако на самом деле минт NFT оказывается мошенническим, и кошелек жертвы становится уязвимым для хакера, который теперь имеет к нему доступ.
Отчет также показал, что многие из фишинговых веб-сайтов работали под одним и тем же интернет-провайдером (IP), при этом 372 фишинговых веб-сайта NFT находились под одним IP-адресом, а еще 320 фишинговых веб-сайтов NFT были связаны с другим IP-адресом.
SlowMist сообщил, что фишинговая кампания продолжается уже несколько месяцев, отметив, что самое раннее зарегистрированное доменное имя появилось около семи месяцев назад.
Другая используемая тактика фишинга включала запись данных о посетителях и их сохранение на внешних сайтах, а также привязку изображений к целевым проектам.
Чтобы получить данные посетителя, хакеры запускают различные скрипты для атаки на жертву, что позволяет им получить доступ к записям доступа жертвы, авторизациям, использованию подключаемых кошельков, а также к конфиденциальным данным, таким как разрешения и подписи (sigData).
Пример фишингового сайта. Источник: SlowMist.
Вся эта информация затем позволяет хакеру получить полный доступ к кошельку жертвы и всем его цифровым активам.
Однако SlowMist подчеркнул, что это лишь «верхушка айсберга», поскольку в ходе анализа была рассмотрена лишь небольшая часть материалов и извлечены «некоторые» характеристики фишинга северокорейских хакеров.
«Предупреждение безопасности SlowMist. Северокорейская группа APT, нацеленная на пользователей NFT, проводит крупномасштабную фишинговую кампанию. Но это только вершина айсберга. Наша ветка охватывает только часть того, что мы обнаружили», — пишет SlowMist.
Например, SlowMist подчеркнул, что только один фишинговый адрес смог получить 1055 NFT и прибыль 300 ETH на сумму 367 000 долларов США благодаря своей тактике фишинга.
SlowMist добавил, что та же северокорейская APT-группа также несет ответственность за фишинговую кампанию Naver, которая 15 марта была задокументирована Prevailion.
В 2022 году именно Северная Корея оказалась в центре различных преступлений, связанных с кражей криптовалюты.
Согласно новостному сообщению, опубликованному Национальной разведывательной службой Южной Кореи (NIS) 22 декабря, только в этом году северокорейские хакеры украли криптовалюты на сумму 620 миллионов долларов.
В октябре Национальное полицейское управление Японии разослало предупреждение крипто-активным компаниям страны, посоветовав им проявлять осторожность в отношении северокорейской хакерской группы.
