Hackere, der er knyttet til Nordkoreas Lazarus-gruppe, står angiveligt bag en massiv phishing-kampagne rettet mod investorer med non-fungible token (NFT) - ved at bruge næsten 500 phishing-domæner til at narre ofre.
Blockchain-sikkerhedsfirmaet SlowMist udgav en indberette den 24. december, hvor de afslører den taktik, som nordkoreanske Advanced Persistent Threat (APT)-grupper har brugt til at skille NFT-investorer fra deres NFT'er, herunder lokkewebsteder forklædt som en række NFT-relaterede platforme og projekter.
Eksempler på disse falske websteder omfatter et websted, der udgiver sig for at være et projekt forbundet med VM, samt websteder, der efterligner velkendte NFT markedspladser såsom OpenSea, X2Y2 og Rarible.
SlowMist sagde, at en af de anvendte taktikker var, at disse lokkewebsteder tilbyder "ondsindede mynter", som involverer at bedrage ofrene til at tro, at de laver en legitim NFT ved at forbinde deres tegnebog til webstedet.
NFT er dog faktisk svigagtig, og ofrets tegnebog er efterladt sårbar over for hackeren, som nu har adgang til den.
Rapporten afslørede også, at mange af phishing-webstederne opererede under den samme internetprotokol (IP), med 372 NFT-phishing-websteder under en enkelt IP, og yderligere 320 NFT-phishing-websteder tilknyttet en anden IP.
SlowMist sagde, at phishing-kampagnen har været i gang i flere måneder, og bemærkede, at det tidligste registrerede domænenavn kom for omkring syv måneder siden.
Andre anvendte phishing-taktikker omfattede registrering af besøgendes data og lagring på eksterne websteder samt linkning af billeder til målprojekter.
Efter at hackeren var ved at indhente den besøgendes data, ville de derefter fortsætte med at køre forskellige angrebsscripts på offeret, som ville give hackeren adgang til offerets adgangsregistreringer, autorisationer, brug af plug-in tegnebøger, samt følsomme data såsom offerets godkendelsesjournal og sigData.
Alle disse oplysninger giver derefter hackeren adgang til ofrets tegnebog, og afslører alle deres digitale aktiver.
SlowMist understregede dog, at dette blot er "toppen af isbjerget", da analysen kun kiggede på en lille del af materialerne og udtog "nogle" af de nordkoreanske hackers phishing-karakteristika.
SlowMist sikkerhedsadvarsel
Nordkoreansk APT-gruppe retter sig mod NFT-brugere med storstilet phishing-kampagne
Dette er kun toppen af isbjerget. Vores tråd dækker kun en brøkdel af det, vi har opdaget.
Lad os dykke ind pic.twitter.com/DeHq1TTrrN
- SlowMist (@SlowMist_Team) 24. December, 2022
For eksempel fremhævede SlowMist, at kun én phishing-adresse alene var i stand til at vinde 1,055 NFT'er og tjene 300 ETH til en værdi af $367,000 gennem sin phishing-taktik.
Den tilføjede, at den samme nordkoreanske APT-gruppe også var ansvarlig for Naver-phishing-kampagnen, som tidligere var dokumenteret ved Prevailion den 15. Mar.
Relateret: Blockchain-sikkerhedsfirmaet advarer om ny MetaMask-phishing-kampagne
Nordkorea har været i centrum for forskellige tyveriforbrydelser i kryptovaluta i 2022.
Ifølge en nyhedsrapport offentliggjort af Sydkoreas nationale efterretningstjeneste (NIS) den 22. december, Nordkorea stjal 620 millioner dollars i kryptovalutaer alene i år.
I oktober udsendte Japans nationale politi en advarsel til landets virksomheder med kryptoaktiver og rådede dem til at være forsigtige fra den nordkoreanske hackergruppe.
Kilde: https://cointelegraph.com/news/north-korean-hackers-stealing-nfts-using-nearly-500-phishing-domains