Rapporten geven aan dat de Noord-Koreaanse Hackers ontwikkelde lokaaswebsites die zich voordeden als NFT-marktplaatsen, NFT-projecten en een DeFi-platform.
Deze hackers die banden hebben met de Lazarus Group in Noord-Korea zitten naar verluidt achter een enorme phishing-campagne die gericht is op de non-fungible token (NFT)-investeerders – waarbij ze bijna 500 phishing-domeinen gebruiken om slachtoffers te misleiden.
Blockchain-beveiligingsbedrijf SlowMist publiceerde een verslag op 24 december, waarin de tactieken en strategieën worden onthuld die Noord-Koreaanse Advanced Persistent Threat (APT) -groepen hebben gebruikt om NFT-investeerders te scheiden van hun niet-vervangbare tokens, waaronder lokwebsites die zijn gecamoufleerd als een verscheidenheid aan NFT-gerelateerde platforms en projecten.
Voorbeelden van nepwebsites zijn een site die zich voordoet als een project dat verband houdt met het WK en sites die zich voordoen als een project reneigendom van NFT-marktplaatsen zoals X2Y2, OpenSea en Rarible.
SlowMist verklaarde dat een van de gebruikte strategieën was om de lokaaswebsites "kwaadaardige pepermuntjes" te laten aanbieden, wat inhoudt dat de slachtoffers worden misleid door te geloven dat ze een legitieme NFT slaan door hun portemonnee aan de website te koppelen.
Desalniettemin is de NFT frauduleus en is de portemonnee van het slachtoffer kwetsbaar voor Noord-Koreaanse hackers die weten hoe ze er toegang toe moeten krijgen.
Het rapport gaf ook aan dat de meeste phishing-websites worden beheerd onder hetzelfde internetprotocol (IP), met 372 NFT-phishing-sites onder één IP-adres en nog eens 320 niet-fungibele token-phishing-websites die zijn gekoppeld aan een ander IP-adres.
SlowMist verklaarde dat de phishing-campagne al enkele maanden aan de gang is en verklaarde dat de vroegst geregistreerde domeinnaam zeven maanden geleden opdook. Andere phishing-methoden die werden gebruikt, waren onder meer het vastleggen van bezoekersgegevens en het opslaan ervan op externe sites en het koppelen van afbeeldingen aan doelprojecten.
Nadat de hacker bijna de gegevens van de bezoeker had verkregen, gingen ze over tot het uitvoeren van verschillende aanvalsscripts op het slachtoffer, waardoor de Noord-Koreaanse hackers toegang zouden krijgen tot de autorisaties van het slachtoffer, toegangsgegevens, gebruik van plug-in-portemonnees, enz. en gevoelige gegevens, waaronder het goedkeuringsdossier van het slachtoffer en sigData.
Al die informatie stelt de crimineel vervolgens in staat om toegang te krijgen tot de portemonnee van het slachtoffer, waardoor al zijn digitale bezittingen worden blootgelegd.
Desalniettemin hield SlowMist vol dat dit slechts het "topje van de ijsberg" is, aangezien de analyse alleen naar een klein deel van het materiaal keek en 'enkele' van de phishingkenmerken van de Noord-Koreaanse hackers eruit haalde.
🚨SlowMist-beveiligingswaarschuwing🚨
Noord-Koreaanse APT-groep richt zich op NFT-gebruikers met grootschalige phishing-campagne
Dit is nog maar het topje van de ijsberg. Onze thread behandelt slechts een fractie van wat we hebben ontdekt.
Laten we erin duiken pic.twitter.com/DeHq1TTrrN
- SlowMist (@SlowMist_Team) 24 december 2022
SlowMist benadrukte bijvoorbeeld dat slechts één phishing-adres erin slaagde om 1,055 NFT's te winnen en 300 ETH, ter waarde van $ 367,000, te verdienen via zijn phishing-tactieken.
Het voegde eraan toe dat dezelfde Noord-Koreaanse APT-groep ook verantwoordelijk was voor de eerdere phishing-campagne van Naver gedocumenteerd door Prevailion op 15 maart.
Noord-Korea is de kern van de verschillenrent cryptodiefstal misdaden in 2022.
Op basis van een nieuwsbericht dat in december 2022 door de Zuid-Koreaanse National Intelligence Service (NIS) is gepubliceerd, heeft Noord-Korea dit jaar alleen al voor $ 620 miljoen aan crypto's gestolen.
In oktober zond de Nationale Politie van Japan een strenge waarschuwing uit naar de crypto-activabedrijven van het land en adviseerde hen zeer voorzichtig te zijn met de Noord-Koreaanse hackers.
