Hackeri vytvorili podvodné webové stránky, ktoré sa vydávali za trhoviská NFT, projekty NFT a dokonca aj za platformu DeFi.
Hackeri napojení na severokórejskú skupinu Lazarus Group údajne stoja za masívnou phishingovou kampaňou zameranou na investorov do non-fungible tokenov (NFT) – na oklamanie obetí využívajú takmer 500 phishingových domén.
Spoločnosť SlowMist, ktorá sa zaoberá bezpečnosťou blockchainu, zverejnila 24. decembra správu, v ktorej odhalila taktiky, ktoré severokórejské skupiny APT (Advanced Persistent Threat) používajú na odlúčenie investorov do NFT od ich NFT, vrátane podvodných webových stránok, ktoré sú maskované ako rôzne platformy a projekty súvisiace s NFT.
Medzi príklady týchto falošných webových stránok patrí stránka, ktorá sa vydáva za projekt spojený s majstrovstvami sveta vo futbale, ako aj stránky, ktoré sa vydávajú za známe trhoviská s NFT, ako sú OpenSea, X2Y2 a Rarible.
SlowMist uviedol, že jednou z používaných taktík je, že tieto falošné webové stránky ponúkajú “škodlivé mince”, čo zahŕňa oklamanie obetí, aby si mysleli, že razia legitímne NFT pripojením svojej peňaženky k webovej stránke.
NFT je však v skutočnosti podvodná a peňaženka obete zostáva zraniteľná pre hackera, ktorý k nej má teraz prístup.
Správa tiež odhalila, že mnohé z podvodných webových stránok fungovali pod rovnakým internetovým protokolom (IP), pričom 372 podvodných webových stránok s NFT bolo pod jednou IP a ďalších 320 podvodných webových stránok s NFT bolo spojených s inou IP.
Spoločnosť SlowMist uviedla, že phishingová kampaň prebiehala niekoľko mesiacov, pričom poznamenala, že najskôr zaregistrovaná doména sa objavila približne pred siedmimi mesiacmi.
Medzi ďalšie používané phishingové taktiky patrilo zaznamenávanie údajov návštevníkov a ich ukladanie na externé stránky, ako aj prepojenie obrázkov s cieľovými projektmi.
Po tom, ako sa hacker chystal získať údaje návštevníka, pokračoval v spúšťaní rôznych útočných skriptov na obeť, ktoré by hackerovi umožnili prístup k záznamom o prístupe obete, autorizáciám, používaniu zásuvných peňaženiek, ako aj k citlivým údajom, ako je záznam o schválení obete a sigData.
Všetky tieto informácie potom hackerovi umožnia prístup k peňaženke obete, čím odhalí všetky jej digitálne aktíva.
Spoločnosť SlowMist však zdôraznila, že ide len o “špičku ľadovca”, keďže analýza sa zaoberala len malou časťou materiálov a vyextrahovala “niektoré” charakteristiky phishingu severokórejských hackerov.
SlowMist napríklad zdôraznil, že len jedna samotná phishingová adresa dokázala vďaka svojej phishingovej taktike získať 1 055 NFT a zisk 300 ETH v hodnote 367 000 USD.
Dodala, že tá istá severokórejská APT skupina bola zodpovedná aj za phishingovú kampaň Naver, ktorú 15. marca predtým zdokumentovala spoločnosť Prevailion.
Severná Kórea bola v roku 2022 v centre rôznych trestných činov krádeže kryptomien.
V októbri japonská Národná policajná agentúra rozoslala varovanie kryptografickým podnikom v krajine, v ktorom im odporučila, aby boli voči severokórejskej hackerskej skupine opatrní.
https://cointelegraph.com/