Les protocoles inter-chaînes et les entreprises Web3 continuent d'être ciblés par les groupes de piratage, alors que deBridge Finance déballe une attaque ratée qui porte la marque des pirates du groupe nord-coréen Lazarus.
Les employés de deBridge Finance ont reçu ce qui ressemblait à un autre e-mail ordinaire du co-fondateur Alex Smirnov un vendredi après-midi. Une pièce jointe intitulée "Nouveaux ajustements salariaux" ne pouvait que susciter l'intérêt, avec diverses sociétés de crypto-monnaie mettre en place des licenciements et des réductions de salaire pendant l'hiver de la crypto-monnaie en cours.
Une poignée d'employés ont signalé l'e-mail et sa pièce jointe comme suspects, mais un membre du personnel a pris l'appât et a téléchargé le fichier PDF. Cela s'avérerait fortuit, car l'équipe de deBridge a travaillé sur le déballage du vecteur d'attaque envoyé à partir d'une fausse adresse e-mail conçue pour refléter celle de Smirnov.
Le co-fondateur s'est penché sur les subtilités de la tentative d'attaque de phishing dans un long fil Twitter publié vendredi, agissant comme une annonce de service public pour la communauté plus large des crypto-monnaies et du Web3 :
1/ @deBridgeFinance a fait l'objet d'une tentative de cyberattaque, apparemment par le groupe Lazarus.
PSA pour toutes les équipes du Web3, cette campagne risque de se généraliser. pic.twitter.com/P5bxY46O6m
– deAlex (@AlexSmirnov__) 5 août 2022
L'équipe de Smirnov a noté que l'attaque n'infecterait pas les utilisateurs de macOS, car les tentatives d'ouverture du lien sur un Mac conduisent à une archive zip avec le fichier PDF normal Adjustments.pdf. Cependant, les systèmes basés sur Windows sont à risque, comme l'a expliqué Smirnov :
"Le vecteur d'attaque est le suivant : l'utilisateur ouvre le lien à partir d'un e-mail, télécharge et ouvre l'archive, essaie d'ouvrir le PDF, mais le PDF demande un mot de passe. L'utilisateur ouvre password.txt.lnk et infecte tout le système.
Le fichier texte fait les dégâts, en exécutant une commande cmd.exe qui vérifie le système pour un logiciel antivirus. Si le système n'est pas protégé, le fichier malveillant est enregistré dans le dossier de démarrage automatique et commence à communiquer avec l'attaquant pour recevoir des instructions.
En rapport: 'Personne ne les retient '- la menace de cyberattaque nord-coréenne augmente
L'équipe de deBridge a autorisé le script à recevoir des instructions, mais a annulé la possibilité d'exécuter des commandes. Cela a révélé que le code collecte une multitude d'informations sur le système et les exporte aux attaquants. Dans des circonstances normales, les pirates seraient en mesure d'exécuter du code sur la machine infectée à partir de ce moment.
Smirnov lié retour à des recherches antérieures sur les attaques de phishing menées par le groupe Lazarus qui utilisaient les mêmes noms de fichiers :
#DangerousPassword (CryptoCore/CryptoMimic) #APTE:
b52e3aaf1bd6e45d695db573abc886dc
Mot de passe.txt.lnkwww[.]googlesheet[.]info – infrastructure qui se chevauche avec @h2jaziainsi que les campagnes précédentes.
d73e832c84c45c3faa9495b39833adb2
Nouveaux ajustements salariaux.pdf https://t.co/kDyGXvnFaz– La Reine Banshee Strahdslayer (@cyberoverdrive) 21 juillet 2022
2022 a vu une augmentation des hacks transversaux comme le souligne la société d'analyse blockchain Chainalysis. Plus de 2 milliards de dollars de crypto-monnaie ont été détournés lors de 13 attaques différentes cette année, représentant près de 70 % des fonds volés. Le pont Ronin d'Axie Infinity a été le le plus touché jusqu'à présent, perdant 612 millions de dollars à cause des pirates en mars 2022.
Source : https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group