Crypto News

Chaînes croisées, attention ! deBridge signale une tentative d’hameçonnage, soupçonne le groupe Lazarus

Les protocoles inter-chaînes et les entreprises Web3 continuent d’être ciblés par des groupes de piratage alors que deBridge Finance déballe une attaque ratée qui porte la marque des pirates du groupe nord-coréen Lazarus.

Les employés de deBridge Finance ont reçu ce qui ressemblait à un autre e-mail ordinaire du co-fondateur Alex Smirnov un vendredi après-midi. Une pièce jointe intitulée “Nouveaux ajustements salariaux” ne pouvait que susciter l’intérêt, diverses sociétés de crypto-monnaie procédant à des licenciements de personnel et à des réductions de salaire pendant l’hiver de crypto-monnaie en cours.

Une poignée d’employés ont signalé l’e-mail et sa pièce jointe comme suspects, mais un membre du personnel a pris l’appât et a téléchargé le fichier PDF. Cela s’avérerait fortuit, car l’équipe de deBridge a travaillé sur le déballage du vecteur d’attaque envoyé à partir d’une fausse adresse e-mail conçue pour refléter celle de Smirnov.

Le co-fondateur s’est plongé dans les subtilités de la tentative d’attaque de phishing dans un long fil Twitter publié le 5 août, agissant comme une annonce de service public pour la communauté plus large de la crypto-monnaie et du Web3 :

L’équipe de Smirnov a noté que l’attaque n’infecterait pas les utilisateurs de macOS, car les tentatives d’ouverture du lien sur un Mac conduisent à une archive zip avec le fichier PDF normal Adjustments.pdf. Cependant, les systèmes basés sur Windows sont à risque, comme l’a expliqué Smirnov :

“Le vecteur d’attaque est le suivant : l’utilisateur ouvre le lien à partir d’un e-mail, télécharge et ouvre l’archive, essaie d’ouvrir le PDF, mais le PDF demande un mot de passe. L’utilisateur ouvre password.txt.lnk et infecte tout le système.

Le fichier texte fait les dégâts, en exécutant une commande cmd.exe qui vérifie le système pour un logiciel antivirus. Si le système n’est pas protégé, le fichier malveillant est enregistré dans le dossier de démarrage automatique et commence à communiquer avec l’attaquant pour recevoir des instructions.

L’équipe de deBridge a autorisé le script à recevoir des instructions, mais a annulé la possibilité d’exécuter des commandes. Cela a révélé que le code collecte une multitude d’informations sur le système et les exporte aux attaquants. Dans des circonstances normales, les pirates seraient en mesure d’exécuter du code sur la machine infectée à partir de ce moment.

Smirnov lié retour à des recherches antérieures sur les attaques de phishing menées par le groupe Lazarus qui utilisaient les mêmes noms de fichiers :

2022 a vu une augmentation des hacks transversaux, comme l’a souligné la société d’analyse de blockchain Chainalysis. Plus de 2 milliards de dollars de crypto-monnaie ont été détournés lors de 13 attaques différentes cette année, représentant près de 70 % des fonds volés. Le pont Ronin d’Axie Infinity a été le plus touché jusqu’à présent – perdant 612 millions de dollars aux pirates en mars 2022.