Kettenübergreifende Protokolle und Web3-Firmen werden weiterhin von Hackergruppen ins Visier genommen, während deBridge Finance einen gescheiterten Angriff auspackt, der die Handschrift der nordkoreanischen Hacker der Lazarus Group trägt.
Die Mitarbeiter von deBridge Finance erhielten an einem Freitagnachmittag etwas, das wie eine weitere gewöhnliche E-Mail von Mitbegründer Alex Smirnov aussah. Ein Anhang mit der Bezeichnung „Neue Gehaltsanpassungen“ musste bei verschiedenen Kryptowährungsfirmen Interesse wecken Personalabbau und Lohnkürzungen während des laufenden Kryptowährungswinters.
Eine Handvoll Mitarbeiter markierte die E-Mail und ihren Anhang als verdächtig, aber ein Mitarbeiter nahm den Köder und lud die PDF-Datei herunter. Dies sollte sich als Zufall erweisen, da das deBridge-Team daran arbeitete, den Angriffsvektor zu entpacken, der von einer gefälschten E-Mail-Adresse gesendet wurde, die die von Smirnov widerspiegeln sollte.
Der Mitbegründer vertiefte sich in einem langen Twitter-Thread, der am Freitag veröffentlicht wurde, in die Feinheiten des versuchten Phishing-Angriffs und fungierte als öffentliche Ankündigung für die breitere Kryptowährungs- und Web3-Community:
1/ @deBridgeFinance war Gegenstand eines versuchten Cyberangriffs, offenbar von der Lazarus-Gruppe.
PSA für alle Teams in Web3, diese Kampagne dürfte weit verbreitet sein. pic.twitter.com/P5bxY46O6m
— von Alex (@AlexSmirnov__) 5. August 2022
Smirnovs Team stellte fest, dass der Angriff macOS-Benutzer nicht infizieren würde, da Versuche, den Link auf einem Mac zu öffnen, zu einem Zip-Archiv mit der normalen PDF-Datei Adjustments.pdf führen. Windows-basierte Systeme sind jedoch gefährdet, wie Smirnov erklärte:
„Der Angriffsvektor ist wie folgt: Benutzer öffnet Link aus E-Mail, lädt herunter und öffnet Archiv, versucht, PDF zu öffnen, aber PDF fragt nach einem Passwort. Benutzer öffnet password.txt.lnk und infiziert das gesamte System.“
Die Textdatei richtet den Schaden an und führt einen cmd.exe-Befehl aus, der das System auf Antivirensoftware überprüft. Wenn das System nicht geschützt ist, wird die schädliche Datei im Autostart-Ordner gespeichert und beginnt mit dem Angreifer zu kommunizieren, um Anweisungen zu erhalten.
Verwandt: 'Niemand hält sie zurück' – Die Bedrohung durch nordkoreanische Cyberangriffe steigt
Das deBridge-Team erlaubte dem Skript, Anweisungen zu empfangen, machte aber die Fähigkeit, Befehle auszuführen, zunichte. Dabei zeigte sich, dass der Code eine Menge Informationen über das System sammelt und an Angreifer exportiert. Unter normalen Umständen könnten die Hacker ab diesem Zeitpunkt Code auf dem infizierten Computer ausführen.
Smirnov verknüpft zurück zu früheren Recherchen zu Phishing-Angriffen der Lazarus-Gruppe, die dieselben Dateinamen verwendeten:
#GefährlichesPasswort (CryptoCore/CryptoMimic) #GEEIGNET:
b52e3aaf1bd6e45d695db573abc886dc
Passwort.txt.lnkwww[.]googlesheet[.]info – überlappende Infrastruktur mit @h2jazi's Tweet sowie frühere Kampagnen.
d73e832c84c45c3faa9495b39833adb2
Neue Gehaltsanpassungen.pdf https://t.co/kDyGXvnFaz– Die Banshee-Königin Strahdslayer (@cyberoverdrive) 21. Juli 2022
2022 hat ein gesehen Anstieg von Cross-Bridge-Hacks wie von der Blockchain-Analysefirma Chainalysis hervorgehoben. Kryptowährungen im Wert von über 2 Milliarden US-Dollar wurden in diesem Jahr bei 13 verschiedenen Angriffen gestohlen, was fast 70 % der gestohlenen Gelder ausmacht. Die Ronin-Brücke von Axie Infinity war die bisher am schlimmsten getroffen, der im März 612 2022 Millionen Dollar an Hacker verlor.
Quelle: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group