Խաչաձև շղթայական արձանագրությունները և Web3 ընկերությունները շարունակում են հայտնվել հաքերային խմբերի թիրախում, քանի որ deBridge Finance-ը բացում է ձախողված հարձակումը, որը կրում է Հյուսիսային Կորեայի Lazarus Group հաքերների նշանները:
Ուրբաթ կեսօրին deBridge Finance-ի աշխատակիցները համահիմնադիր Ալեքս Սմիրնովից ստացան հերթական սովորական նամակը: «Աշխատավարձի նոր ճշգրտումներ» պիտակով հավելվածը, անշուշտ, հետաքրքրություն կառաջացներ կրիպտոարժույթի տարբեր ֆիրմաների հետ: կադրերի կրճատումներ և աշխատավարձերի կրճատում շարունակվող կրիպտոարժույթի ձմռան ընթացքում:
Մի քանի աշխատակիցներ նշել են նամակը և դրա կցումը որպես կասկածելի, սակայն աշխատակիցներից մեկը վերցրել է խայծը և ներբեռնել PDF ֆայլը: Սա պատահական կլիներ, քանի որ deBridge-ի թիմն աշխատում էր բացելու հարձակման վեկտորը, որն ուղարկվել էր կեղծ էլփոստի հասցեից, որը նախատեսված էր Սմիրնովի հասցեին արտացոլելու համար:
Համահիմնադիրը խորացել է ֆիշինգի հարձակման փորձի բարդությունների մեջ ուրբաթ օրը հրապարակված Twitter-ի երկար թեմայում, որը հանդես է գալիս որպես հանրային ծառայության հայտարարություն կրիպտոարժույթների և Web3 ավելի լայն համայնքի համար.
1/ @deBridgeFinance եղել է կիբերհարձակման փորձի առարկա, ըստ երևույթին Լազար խմբավորման կողմից:
PSA Web3-ի բոլոր թիմերի համար, այս արշավը, հավանաբար, լայն տարածում ունի: pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__) Օգոստոս 5, 2022
Սմիրնովի թիմը նշել է, որ հարձակումը չի վարակի macOS-ի օգտատերերին, քանի որ Mac-ում հղումը բացելու փորձերը տանում են դեպի zip արխիվ՝ սովորական PDF ֆայլ Adjustments.pdf: Այնուամենայնիվ, Windows-ի վրա հիմնված համակարգերը վտանգի տակ են, ինչպես բացատրեց Սմիրնովը.
«Հարձակման վեկտորը հետևյալն է. օգտատերը բացում է հղումը էլփոստից, ներբեռնում և բացում է արխիվը, փորձում է բացել PDF-ը, բայց PDF-ը գաղտնաբառ է խնդրում: Օգտատերը բացում է password.txt.lnk-ը և վարակում ամբողջ համակարգը։
Տեքստային ֆայլը վնաս է հասցնում` կատարելով cmd.exe հրամանը, որը ստուգում է համակարգը հակավիրուսային ծրագրերի համար: Եթե համակարգը պաշտպանված չէ, ապա վնասակար ֆայլը պահվում է autostart թղթապանակում և սկսում է շփվել հարձակվողի հետ՝ հրահանգներ ստանալու համար:
Առնչվող:Ոչ ոք նրանց հետ չի պահում», - Հյուսիսային Կորեայի կիբերհարձակման սպառնալիքը մեծանում է
DeBridge-ի թիմը թույլ տվեց սցենարին ստանալ հրահանգներ, սակայն չեղյալ համարեց ցանկացած հրամաններ կատարելու հնարավորությունը: Սա բացահայտեց, որ կոդը հավաքում է համակարգի մասին տեղեկատվության մի ամբողջություն և այն արտահանում հարձակվողներին: Նորմալ պայմաններում հաքերները կկարողանան այս պահից սկսած գործարկել կոդը վարակված մեքենայի վրա:
Սմիրնովը հետ Վերադառնալ ավելի վաղ ֆիշինգային հարձակումների վերաբերյալ հետազոտություններին, որոնք իրականացվել էին Lazarus Group-ի կողմից, որն օգտագործում էր նույն ֆայլերի անունները.
#VangerousPassword (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – համընկնող ենթակառուցվածքի հետ @h2jazi-ի թվիթը, ինչպես նաև ավելի վաղ արշավները:
d73e832c84c45c3faa9495b39833adb2
Աշխատավարձի նոր ճշգրտումներ.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Հուլիս 21, 2022
2022 թվականը տեսել է ա խաչաձեւ կամուրջների հաքերների աճ ինչպես ընդգծել է բլոկչեյն վերլուծության Chainalysis ընկերությունը: Այս տարի ավելի քան 2 միլիարդ դոլար արժողությամբ կրիպտոարժույթ է ոչնչացվել 13 տարբեր հարձակումների արդյունքում, ինչը կազմում է գողացված միջոցների գրեթե 70%-ը: Axie Infinity-ի Ronin կամուրջը եղել է մինչ այժմ ամենավատ հարվածը612 թվականի մարտին հաքերներից 2022 միլիոն դոլար կորցնելով։
Աղբյուր՝ https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group