Hackers ligados ao Lazarus Group da Coréia do Norte estão supostamente por trás de uma campanha massiva de phishing visando investidores de NFTs – utilizando quase 500 domínios de phishing para enganar as vítimas.
A empresa de segurança blockchain, SlowMist, divulgou um relatório revelando as táticas que os grupos norte-coreanos Advanced Persistent Threat (APT) usaram para separar os investidores de NFT de seus NFTs, incluindo sites falsos disfarçados como uma variedade de plataformas e projetos relacionados a NFTs.
Exemplos desses sites falsos incluem um site que finge ser um projeto associado à Copa do Mundo, bem como sites que se fazem passar por mercados NFT conhecidos, como OpenSea, X2Y2 e Rarible.
O SlowMist disse que uma das táticas usadas era fazer com que esses sites falsos oferecessem “Mints maliciosos”, o que envolve enganar as vítimas fazendo-as pensar que estão cunhando um NFT legítimo ao conectar sua carteira ao site.
No entanto, o NFT é realmente fraudulento e a carteira da vítima fica vulnerável ao hacker que agora tem acesso a ela.
O relatório também revelou que muitos dos sites de phishing operavam sob o mesmo protocolo de Internet (IP), com 372 sites de phishing NFT sob um único IP e outros 320 sites de phishing NFT associados a outro IP.
O SlowMist disse que a campanha de phishing está em andamento há vários meses, observando que o primeiro nome de domínio registrado surgiu há cerca de sete meses.
Outras táticas de phishing usadas incluíam gravar dados de visitantes e salvá-los em sites externos, bem como vincular imagens a projetos-alvo.
Depois que o hacker estava prestes a obter os dados do visitante, eles executariam vários scripts de ataque na vítima, o que permitiria ao hacker acessar os registros de acesso da vítima, autorizações e uso de carteiras plug-in, bem como dados confidenciais como o registro de aprovação das vítimas e sigData.
Todas essas informações permitem que o hacker acesse a carteira da vítima, expondo todos os seus ativos digitais.
No entanto, o SlowMist enfatizou que esta é apenas a “ponta do iceberg”, já que a análise analisou apenas uma pequena parte dos materiais e extraiu algumas das características de phishing dos hackers norte-coreanos.
🚨SlowMist Security Alert🚨
North Korean APT group targeting NFT users with large-scale phishing campaign
This is just the tip of the iceberg. Our thread only covers a fraction of what we've discovered.
Let's dive in pic.twitter.com/DeHq1TTrrN
— SlowMist (@SlowMist_Team) December 24, 2022
Por exemplo, o SlowMist destacou que apenas um endereço de phishing foi capaz de obter 1.055 NFTs e lucrar 300 Ether (ETH), no valor de US$367.000, por meio de suas táticas de phishing.
Acrescentou que o mesmo grupo APT norte-coreano também foi responsável pela campanha de phishing do Naver, documentada anteriormente pela Prevailion.
A Coreia do Norte esteve no centro de vários crimes de roubo de criptomoedas em 2022.
De acordo com uma reportagem publicada pelo Serviço Nacional de Inteligência da Coreia do Sul (NIS), a Coreia do Norte roubou US$620 milhões em criptomoedas somente em 2022.
Em outubro de 2022, a Agência Nacional de Polícia do Japão enviou um aviso às empresas de criptoativos do país, aconselhando-as a serem cautelosas com o grupo de hackers norte-coreano.
