Los informes indican que Corea del Norte los piratas informáticos desarrolló sitios web de señuelo que se hacen pasar por mercados NFT, proyectos NFT y una plataforma DeFi.
Estos piratas informáticos vinculados al Grupo Lazarus de Corea del Norte supuestamente están detrás de una gran campaña de phishing dirigida a los inversores de tokens no fungibles (NFT), utilizando casi 500 dominios de phishing para engañar a las víctimas.
La compañía de seguridad Blockchain SlowMist publicó un reporte el 24 de diciembre, revelando las tácticas y estrategias que los grupos de amenazas persistentes avanzadas (APT) de Corea del Norte han utilizado para separar a los inversores de NFT de sus tokens no fungibles, incluidos los sitios web de señuelo camuflados como una variedad de plataformas y proyectos relacionados con NFT.
Los ejemplos de sitios web falsos incluyen un sitio que finge ser un proyecto relacionado con la Copa del Mundo y sitios que se hacen pasar por renmercados de propiedad de NFT como X2Y2, OpenSea y Rarible.
SlowMist declaró que una de las estrategias utilizadas fue que los sitios web de señuelo ofrecieran "mentas maliciosas", que consisten en engañar a las víctimas para que crean que están acuñando un NFT legítimo al vincular su billetera al sitio web.
Sin embargo, la NFT es fraudulenta y la billetera de la víctima queda vulnerable a los piratas informáticos de Corea del Norte que saben cómo acceder a ella.
El informe también indicó que la mayoría de los sitios web de phishing funcionan con el mismo Protocolo de Internet (IP), con 372 sitios de phishing NFT bajo una IP y otros 320 sitios web de phishing de tokens no fungibles vinculados a otra IP.
SlowMist declaró que la campaña de phishing ha continuado durante varios meses y afirmó que el primer nombre de dominio registrado apareció hace siete meses. Otros métodos de phishing utilizados incluyeron registrar datos de visitantes y guardarlos en sitios externos y vincular imágenes a proyectos de destino.
Después de que el hacker estuviera a punto de obtener los datos del visitante, procedería a ejecutar una variedad de scripts de ataque en la víctima, lo que permitiría a los piratas informáticos de Corea del Norte obtener acceso a las autorizaciones de la víctima, registros de acceso, uso de carteras enchufables, y datos confidenciales, incluido el registro de aprobación de la víctima y sigData.
Toda esa información le permite al criminal acceder a la billetera de la víctima, exponiendo todos sus activos digitales.
No obstante, SlowMist insistió en que esto es solo la "punta del iceberg", ya que el análisis solo analizó un pequeño segmento de los materiales y extrajo "algunas" de las características de phishing de los piratas informáticos de Corea del Norte.
🚨Alerta de seguridad de SlowMist🚨
Grupo APT de Corea del Norte dirigido a usuarios de NFT con campaña de phishing a gran escala
Esto es sólo la punta del iceberg. Nuestro hilo solo cubre una fracción de lo que hemos descubierto.
vamos a sumergirnos pic.twitter.com/DeHq1TTrrN
- SlowMist (@SlowMist_Team) 24 de diciembre de 2022
Por ejemplo, SlowMist destacó que solo una dirección de phishing logró obtener 1,055 NFT y obtener 300 ETH, por un valor de $367,000 XNUMX, a través de sus tácticas de phishing.
Agregó que el mismo grupo APT de Corea del Norte también fue responsable de la campaña de phishing de Naver que anteriormente documentado por Prevailion el 15 de marzo.
Corea del Norte ha estado en el centro de different delitos de robo de criptomonedas en 2022.
Según un informe de noticias publicado por el Servicio de Inteligencia Nacional (NIS) de Corea del Sur en diciembre de 2022, Corea del Norte robó USD 620 millones en criptomonedas solo este año.
En octubre, la Agencia Nacional de Policía de Japón envió una severa advertencia a las empresas de criptoactivos de la nación, aconsejándoles que fueran muy cautelosos con los piratas informáticos de Corea del Norte.
