Hacker, die mit der nordkoreanischen Lazarus-Gruppe in Verbindung stehen, stecken Berichten zufolge hinter einer massiven Phishing-Kampagne, die sich an nicht fungible Token (NFT)-Investoren richtet und fast 500 Phishing-Domains nutzt, um Opfer zu täuschen.
Die Blockchain-Sicherheitsfirma SlowMist veröffentlichte a Bericht am 24. Dezember und enthüllte die Taktiken, die nordkoreanische Advanced Persistent Threat (APT)-Gruppen angewendet haben, um NFT-Investoren von ihren NFTs zu trennen, einschließlich Lockvogel-Websites, die als eine Vielzahl von NFT-bezogenen Plattformen und Projekten getarnt sind.
Beispiele für diese gefälschten Websites sind eine Website, die vorgibt, ein Projekt im Zusammenhang mit der Weltmeisterschaft zu sein, sowie Websites, die sich als bekannte NFT-Marktplätze wie OpenSea, X2Y2 und Rarible ausgeben.
SlowMist sagte, eine der angewandten Taktiken bestand darin, dass diese Köder-Websites „böswillige Mints“ anbieten, was darin besteht, die Opfer zu täuschen, indem sie glauben, dass sie eine legitime NFT prägen, indem sie ihre Brieftasche mit der Website verbinden.
Die NFT ist jedoch tatsächlich betrügerisch, und die Brieftasche des Opfers bleibt anfällig für den Hacker, der jetzt Zugriff darauf hat.
Der Bericht enthüllte auch, dass viele der Phishing-Websites unter demselben Internetprotokoll (IP) betrieben wurden, wobei 372 NFT-Phishing-Websites unter einer einzigen IP und weitere 320 NFT-Phishing-Websites mit einer anderen IP verbunden waren.
SlowMist sagte, dass die Phishing-Kampagne seit mehreren Monaten andauert, und stellte fest, dass der früheste registrierte Domainname vor etwa sieben Monaten kam.
Andere verwendete Phishing-Taktiken umfassten das Aufzeichnen von Besucherdaten und das Speichern auf externen Websites sowie das Verlinken von Bildern mit Zielprojekten.
Nachdem der Hacker die Daten des Besuchers erhalten wollte, führte er verschiedene Angriffsskripte auf dem Opfer aus, die dem Hacker Zugriff auf die Zugriffsdatensätze, Berechtigungen, die Verwendung von Plug-in-Wallets sowie sensible Daten des Opfers ermöglichten wie der Genehmigungsdatensatz des Opfers und sigData.
All diese Informationen ermöglichen dem Hacker dann den Zugriff auf die Brieftasche des Opfers, wodurch alle seine digitalen Vermögenswerte offengelegt werden.
SlowMist betonte jedoch, dass dies nur die „Spitze des Eisbergs“ sei, da die Analyse nur einen kleinen Teil der Materialien betrachtete und „einige“ der Phishing-Merkmale der nordkoreanischen Hacker extrahierte.
SlowMist-Sicherheitswarnung
Nordkoreanische APT-Gruppe zielt mit groß angelegter Phishing-Kampagne auf NFT-Benutzer ab
Dies ist nur die Spitze des Eisbergs. Unser Thread deckt nur einen Bruchteil dessen ab, was wir entdeckt haben.
Tauchen wir ein pic.twitter.com/DeHq1TTrrN
— SlowMist (@SlowMist_Team) 24. Dezember 2022
Zum Beispiel hob SlowMist hervor, dass nur eine Phishing-Adresse allein durch ihre Phishing-Taktik 1.055 NFTs gewinnen und 300 ETH im Wert von 367.000 US-Dollar gewinnen konnte.
Es fügte hinzu, dass dieselbe nordkoreanische APT-Gruppe auch für die frühere Naver-Phishing-Kampagne verantwortlich war dokumentiert von Prevailion am 15. März.
Verwandt: Blockchain-Sicherheitsfirma warnt vor neuer MetaMask-Phishing-Kampagne
Nordkorea war im Jahr 2022 im Zentrum verschiedener Kryptowährungsdiebstahlverbrechen.
Laut einem vom südkoreanischen National Intelligence Service (NIS) am 22. Dezember veröffentlichten Nachrichtenbericht hat Nordkorea allein in diesem Jahr Kryptowährungen im Wert von 620 Millionen Dollar gestohlen.
Im Oktober sandte die japanische Nationale Polizeibehörde eine Warnung an die Krypto-Asset-Unternehmen des Landes und riet ihnen, gegenüber der nordkoreanischen Hacking-Gruppe vorsichtig zu sein.