ທຸງ deBridge ພະຍາຍາມໂຈມຕີ phishing, ສົງໃສວ່າກຸ່ມ Lazarus

ໂປຣໂຕຄອນຂ້າມຕ່ອງໂສ້ ແລະບໍລິສັດ Web3 ຍັງສືບຕໍ່ຖືກເປົ້າໝາຍໂດຍກຸ່ມແຮັກເກີ້, ຍ້ອນວ່າ deBridge Finance ເປີດເຜີຍການໂຈມຕີທີ່ລົ້ມເຫລວເຊິ່ງເປັນຈຸດເດັ່ນຂອງພວກແຮກເກີກຸ່ມ Lazarus ຂອງເກົາຫຼີເໜືອ.

ພະນັກງານການເງິນຂອງ deBridge ໄດ້ຮັບສິ່ງທີ່ເບິ່ງຄືວ່າເປັນອີເມວທໍາມະດາອີກອັນຫນຶ່ງຈາກຜູ້ຮ່ວມກໍ່ຕັ້ງ Alex Smirnov ໃນຕອນບ່າຍວັນສຸກ. ໄຟລ໌ແນບທີ່ມີປ້າຍຊື່ “ການປັບເງິນເດືອນໃໝ່” ແມ່ນຜູກມັດກັບຄວາມສົນໃຈທີ່ໜ້າສົນໃຈ, ກັບບໍລິສັດ cryptocurrency ຕ່າງໆ. ຈັດຕັ້ງການປົດພະນັກງານ ແລະຕັດເງິນເດືອນ ໃນລະດູຫນາວ cryptocurrency ຢ່າງຕໍ່ເນື່ອງ.

ພະນັກງານຈຳນວນໜຶ່ງໄດ້ປັກທຸງອີເມລ໌ ແລະ ໄຟລ໌ແນບຂອງມັນວ່າເປັນໜ້າສົງໄສ, ແຕ່ພະນັກງານຄົນໜຶ່ງໄດ້ເອົາເຫຍື່ອ ແລະ ດາວໂຫຼດໄຟລ໌ PDF. ນີ້ຈະພິສູດໄດ້ວ່າໂຊກດີ, ຍ້ອນວ່າທີມງານ deBridge ໄດ້ເຮັດວຽກກ່ຽວກັບການຫຸ້ມຫໍ່ vector ການໂຈມຕີທີ່ສົ່ງມາຈາກທີ່ຢູ່ອີເມວທີ່ຫຼອກລວງທີ່ຖືກອອກແບບເພື່ອສະທ້ອນ Smirnov's.

ຜູ້ຮ່ວມກໍ່ຕັ້ງໄດ້ເຈາະເລິກເຖິງຄວາມຊັບຊ້ອນຂອງຄວາມພະຍາຍາມໃນການໂຈມຕີ phishing ໃນຫົວຂໍ້ Twitter ຍາວທີ່ຈັດພີມມາໃນວັນສຸກ, ເຮັດຫນ້າທີ່ເປັນການປະກາດການບໍລິການສາທາລະນະສໍາລັບຊຸມຊົນ cryptocurrency ແລະ Web3 ທີ່ກວ້າງຂວາງ:

1/ @deBridgeFinance ​ໄດ້​ເປັນ​ຫົວ​ຂໍ້​ຂອງ​ການ​ພະຍາຍາມ​ໂຈມ​ຕີ​ທາງ​ອິນ​ເຕີ​ແນັດ, ປາກົດ​ວ່າ​ໂດຍ​ກຸ່ມ Lazarus.

PSA ສໍາລັບທຸກທີມໃນ Web3, ແຄມເປນນີ້ອາດຈະແຜ່ຂະຫຍາຍຫຼາຍ. pic.twitter.com/P5bxY46O6m

— deAlex (@AlexSmirnov__) ສິງຫາ 5, 2022

ທີມງານຂອງ Smirnov ສັງເກດເຫັນວ່າການໂຈມຕີຈະບໍ່ຕິດເຊື້ອຜູ້ໃຊ້ macOS, ເນື່ອງຈາກຄວາມພະຍາຍາມທີ່ຈະເປີດການເຊື່ອມຕໍ່ໃນ Mac ນໍາໄປສູ່ການເກັບ zip ກັບໄຟລ໌ PDF ປົກກະຕິ Adjustments.pdf. ຢ່າງໃດກໍຕາມ, ລະບົບທີ່ໃຊ້ Windows ແມ່ນມີຄວາມສ່ຽງດັ່ງທີ່ Smirnov ອະທິບາຍວ່າ:

" vector ການໂຈມຕີມີດັ່ງນີ້: ຜູ້ໃຊ້ເປີດການເຊື່ອມຕໍ່ຈາກອີເມລ໌, ດາວໂຫລດແລະເປີດແຟ້ມຈັດເກັບ, ພະຍາຍາມເປີດ PDF, ແຕ່ PDF ຂໍລະຫັດຜ່ານ. ຜູ້ໃຊ້ເປີດ password.txt.lnk ແລະຕິດເຊື້ອລະບົບທັງຫມົດ."

ໄຟລ໌ຂໍ້ຄວາມເຮັດຄວາມເສຍຫາຍ, ປະຕິບັດຄໍາສັ່ງ cmd.exe ທີ່ກວດເບິ່ງລະບົບສໍາລັບຊອບແວຕ້ານເຊື້ອໄວຣັສ. ຖ້າລະບົບບໍ່ໄດ້ຮັບການປົກປ້ອງ, ໄຟລ໌ທີ່ເປັນອັນຕະລາຍຈະຖືກບັນທຶກໄວ້ໃນໂຟເດີ autostart ແລະເລີ່ມຕິດຕໍ່ກັບຜູ້ໂຈມຕີເພື່ອຮັບຄໍາແນະນໍາ.

ທີ່ກ່ຽວຂ້ອງ: 'ບໍ່​ມີ​ໃຜ​ຈັບ​ພວກ​ເຂົາ​ຄືນ​ໄດ້' — ໄພ​ຂົ່ມ​ຂູ່​ຕໍ່​ການ​ໂຈມ​ຕີ​ທາງ​ອິນ​ເຕີ​ເນັດ​ຂອງ​ເກົາ​ຫຼີ​ເຫນືອ​ເພີ່ມ​ຂຶ້ນ

ທີມງານ deBridge ໄດ້ອະນຸຍາດໃຫ້ script ໄດ້ຮັບຄໍາແນະນໍາແຕ່ nulled ຄວາມສາມາດໃນການປະຕິບັດຄໍາສັ່ງໃດໆ. ນີ້ເປີດເຜີຍວ່າລະຫັດລວບລວມຂໍ້ມູນກ່ຽວກັບລະບົບແລະສົ່ງອອກໄປຫາຜູ້ໂຈມຕີ. ພາຍໃຕ້ສະຖານະການປົກກະຕິ, ແຮກເກີຈະສາມາດແລ່ນລະຫັດໃນເຄື່ອງທີ່ຕິດເຊື້ອຈາກຈຸດນີ້ເປັນຕົ້ນໄປ.

Smirnov ການເຊື່ອມຕໍ່ ກັບຄືນໄປບ່ອນການຄົ້ນຄວ້າກ່ອນຫນ້ານີ້ກ່ຽວກັບການໂຈມຕີ phishing ທີ່ດໍາເນີນໂດຍ Lazarus Group ທີ່ໃຊ້ຊື່ໄຟລ໌ດຽວກັນ:

# ລະຫັດຜ່ານອັນຕະລາຍ (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
ລະຫັດຜ່ານ.txt.lnk

www[.]googlesheet[.]info – ໂຄງສ້າງພື້ນຖານທີ່ທັບຊ້ອນກັນກັບ @h2jazi's tweet ເຊັ່ນດຽວກັນກັບແຄມເປນກ່ອນຫນ້ານີ້.

d73e832c84c45c3faa9495b39833adb2
ການປັບເງິນເດືອນໃໝ່.pdf https://t.co/kDyGXvnFaz

— The Banshee Queen Strahdslayer (@cyberoverdrive) ເດືອນກໍລະກົດ 21, 2022

2022 ໄດ້​ເຫັນ a ເພີ່ມຂຶ້ນໃນການ hack ຂ້າມຂົວ ດັ່ງທີ່ຊີ້ໃຫ້ເຫັນໂດຍບໍລິສັດການວິເຄາະ blockchain Chainalysis. ຫຼາຍກວ່າ 2 ຕື້ໂດລາຂອງ cryptocurrency ໄດ້ຖືກຫລົບຫນີໃນ 13 ການໂຈມຕີທີ່ແຕກຕ່າງກັນໃນປີນີ້, ເຊິ່ງກວມເອົາເກືອບ 70% ຂອງເງິນທີ່ຖືກລັກ. ຂົວ Ronin ຂອງ Axie Infinity ໄດ້ເປັນ ​ໄດ້​ຮັບ​ຜົນ​ກະທົບ​ຮ້າຍ​ແຮງ​ທີ່​ສຸດ​ມາ​ຮອດ​ປະຈຸ​ບັນ, ໄດ້ສູນເສຍ 612 ລ້ານໂດລາໃຫ້ແກ່ແຮກເກີໃນເດືອນມີນາ 2022.