deBridge señala un intento de ataque de phishing y advierte sobre la participación de Lazarus Group
Los protocolos cross-chain y las empresas de la Web 3.0 siguen siendo el objetivo de los grupos de hackers, dado que deBridge Finance analiza un ataque fallido que lleva el sello del colectivo delictivo norcoreano, Lazarus Group.
Los empleados deBridge Finance recibieron lo que parecía ser otro correo electrónico común y corriente del cofundador, Alex Smirnov, un viernes por la tarde. Un archivo adjunto titulado “Nuevos ajustes salariales” estaba destinado a despertar el interés, pues varias empresas de criptomonedas están realizando despidos de personal y recortes salariales durante el actual mercado bajista que azota a los activos digitales.
Unos cuantos empleados señalaron el correo electrónico y su adjunto como sospechosos, pero un miembro del personal cayó en la trampa y descargó el archivo PDF. Esto resultó ser fortuito, dado que el equipo deBridge trabajó para descifrar el vector de ataque enviado desde una dirección de correo electrónico falsa diseñada para imitar la de Smirnov.
El cofundador profundizó en los entresijos del intento de ataque de phishing en un largo hilo de Twitter publicado el viernes, actuando como un anuncio de servicio público para la comunidad más amplia de criptomonedas:
1/ @deBridgeFinance has been the subject of an attempted cyberattack, apparently by the Lazarus group.
PSA for all teams in Web3, this campaign is likely widespread. pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__) August 5, 2022
El equipo de Smirnov señaló que el ataque no infectaría a los usuarios de macOS, pues los intentos de abrir el enlace en un Mac conducen a un archivo zip con el archivo PDF normal “Adjustments.pdf”. Sin embargo, los sistemas basados en Windows están en peligro, como explicó Smirnov:
“El vector de ataque es el siguiente: el usuario abre el enlace del correo electrónico, descarga y abre el archivo, intenta abrir el PDF, pero éste le pide una contraseña. El usuario abre password.txt.lnk e infecta todo el sistema”.
El archivo de texto hace el daño, ejecutando un comando cmd.exe que comprueba si el sistema tiene software antivirus. Si el sistema no está protegido, el archivo malicioso se guarda en la carpeta de inicio automático y comienza a comunicarse con el atacante para recibir instrucciones.
El equipo deBridge permitió que el script recibiera instrucciones pero anuló la capacidad de ejecutar cualquier comando. Esto reveló que el código recoge una línea de información sobre el sistema y la envía a los atacantes. En circunstancias normales, los hackers podrían ejecutar código en la máquina infectada a partir de este momento.
Smirnov se remitió a una investigación anterior sobre ataques de phishing llevados a cabo por Lazarus Group, que utilizaba los mismos nombres de archivo:
#DangerousPassword (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – overlapping infrastructure with @h2jazi‘s tweet as well as earlier campaigns.
d73e832c84c45c3faa9495b39833adb2
New Salary Adjustments.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) July 21, 2022
2022 ha sido testigo de un aumento de los hackeos de puentes cross-chain, según destaca la empresa de análisis de blockchain, Chainalysis. Más de USD 2,000 millones en criptomonedas han sido robados en 13 ataques distintos este año, lo que supone casi el 70% de es cifra. El Ronin Bridge de Axie Infinity ha sido el más afectado hasta ahora, perdiendo USD 612 millones a manos de hackers a mediados de marzo.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.