I rapporti indicano che la Corea del Nord hacker ha sviluppato siti Web esca che impersonano mercati NFT, progetti NFT e una piattaforma DeFi.
Questi hacker collegati al gruppo Lazarus della Corea del Nord sarebbero dietro un'enorme campagna di phishing rivolta agli investitori di token non fungibili (NFT), utilizzando quasi 500 domini di phishing per ingannare le vittime.
La società di sicurezza blockchain SlowMist ha pubblicato a rapporto il 24 dicembre, rivelando le tattiche e le strategie che i gruppi APT (Advanced Persistent Threat) nordcoreani hanno utilizzato per separare gli investitori NFT dai loro token non fungibili, inclusi siti Web esca camuffati come una varietà di piattaforme e progetti relativi a NFT.
Esempi di siti Web falsi includono un sito che finge di essere un progetto collegato alla Coppa del Mondo e siti che si spacciano per renmercati NFT di proprietà come X2Y2, OpenSea e Rarible.
SlowMist ha affermato che una delle strategie utilizzate consisteva nel far sì che i siti web esca offrissero "zecche dannose", che consiste nell'ingannare le vittime facendole credere che stiano coniando un NFT legittimo collegando il loro portafoglio al sito web.
Tuttavia, l'NFT è fraudolento e il portafoglio della vittima rimane vulnerabile agli hacker nordcoreani che sanno come accedervi.
Il rapporto ha anche indicato che la maggior parte dei siti Web di phishing sono gestiti con lo stesso protocollo Internet (IP), con 372 siti di phishing NFT sotto un IP e altri 320 siti Web di phishing token non fungibili collegati a un altro IP.
SlowMist ha affermato che la campagna di phishing continua da diversi mesi, affermando che il primo nome di dominio registrato è apparso sette mesi fa. Altri metodi di phishing utilizzati includevano la registrazione dei dati dei visitatori e il loro salvataggio su siti esterni e il collegamento di immagini a progetti target.
Dopo che l'hacker aveva quasi ottenuto i dati del visitatore, avrebbe quindi proceduto a eseguire una serie di script di attacco sulla vittima, che avrebbero consentito agli hacker nordcoreani di ottenere l'accesso alle autorizzazioni della vittima, ai record di accesso, all'uso di portafogli plug-in, e dati sensibili tra cui il record di approvazione della vittima e sigData.
Tutte queste informazioni consentono quindi al criminale di accedere al portafoglio della vittima, esponendo tutte le sue risorse digitali.
Tuttavia, SlowMist ha insistito sul fatto che questa è solo la "punta dell'iceberg", poiché l'analisi ha esaminato solo un piccolo segmento dei materiali ed ha estratto "alcune" delle caratteristiche di phishing degli hacker nordcoreani.
🚨Avviso di sicurezza SlowMist🚨
Gruppo APT nordcoreano che prende di mira gli utenti NFT con una campagna di phishing su larga scala
Questa è solo la punta dell'iceberg. Il nostro filo copre solo una frazione di ciò che abbiamo scoperto.
Immergiamoci pic.twitter.com/DeHq1TTrrN
- SlowMist (@SlowMist_Team) Dicembre 24, 2022
Ad esempio, SlowMist ha evidenziato che solo un indirizzo di phishing è riuscito a guadagnare 1,055 NFT e guadagnare 300 ETH, per un valore di $ 367,000, tramite le sue tattiche di phishing.
Ha aggiunto che lo stesso gruppo APT nordcoreano era anche responsabile della precedente campagna di phishing Naver documentata da Prevailion il 15 marzo.
La Corea del Nord è stata al centro della differenzarent crimini di furto di criptovalute nel 2022.
Sulla base di un rapporto pubblicato dal National Intelligence Service (NIS) della Corea del Sud nel dicembre 2022, la Corea del Nord ha rubato 620 milioni di dollari in criptovalute solo quest'anno.
A ottobre, l'agenzia di polizia nazionale giapponese ha inviato un severo avvertimento alle aziende di criptovalute della nazione consigliandole di essere molto caute nei confronti degli hacker nordcoreani.
