Relatórios indicam que a Coreia do Norte hackers desenvolveu sites falsos representando mercados NFT, projetos NFT e uma plataforma DeFi.
Esses hackers ligados ao Lazarus Group da Coréia do Norte estão supostamente por trás de uma enorme campanha de phishing visando os investidores de tokens não fungíveis (NFT) - usando quase 500 domínios de phishing para enganar as vítimas.
A empresa de segurança Blockchain SlowMist publicou um Denunciar em 24 de dezembro, revelando as táticas e estratégias que os grupos norte-coreanos de Ameaça Persistente Avançada (APT) utilizaram para separar os investidores de NFT de seus tokens não fungíveis, incluindo sites falsos camuflados como uma variedade de plataformas e projetos relacionados a NFT.
Exemplos de sites falsos incluem um site que finge ser um projeto vinculado à Copa do Mundo e sites que se fazem passar por renmercados NFT de propriedade como X2Y2, OpenSea e Rarible.
O SlowMist afirmou que uma das estratégias usadas era fazer com que os sites falsos oferecessem “Mints maliciosos”, que consiste em enganar as vítimas fazendo-as acreditar que estão cunhando um NFT legítimo ao vincular sua carteira ao site.
No entanto, o NFT é fraudulento e a carteira da vítima fica vulnerável a hackers norte-coreanos que sabem como acessá-la.
O relatório também indicou que a maioria dos sites de phishing são operados sob o mesmo protocolo de Internet (IP), com 372 sites de phishing NFT sob um IP e outros 320 sites de phishing de token não fungível vinculados a outro IP.
SlowMist afirmou que a campanha de phishing continua há vários meses, afirmando que o primeiro nome de domínio registrado surgiu há sete meses. Outros métodos de phishing usados incluíam gravar dados de visitantes e salvá-los em sites externos e vincular imagens a projetos-alvo.
Depois que o hacker estava quase obtendo os dados do visitante, eles executariam uma variedade de scripts de ataque na vítima, o que permitiria aos hackers norte-coreanos obter acesso às autorizações da vítima, registros de acesso, uso de carteiras plug-in, e dados confidenciais, incluindo o registro de aprovação da vítima e sigData.
Todas essas informações permitem que o criminoso acesse a carteira da vítima, expondo todos os seus ativos digitais.
No entanto, o SlowMist insistiu que esta é apenas a “ponta do iceberg”, já que a análise apenas examinou um pequeno segmento dos materiais e extraiu 'algumas' das características de phishing dos hackers norte-coreanos.
🚨Alerta de segurança SlowMist🚨
Grupo APT norte-coreano visando usuários NFT com campanha de phishing em grande escala
Esta é apenas a ponta do iceberg. Nosso tópico cobre apenas uma fração do que descobrimos.
vamos mergulhar pic.twitter.com/DeHq1TTrrN
- SlowMist (@SlowMist_Team) 24 de dezembro de 2022
Por exemplo, o SlowMist destacou que apenas um endereço de phishing conseguiu obter 1,055 NFTs e lucrar 300 ETH, no valor de US$ 367,000, por meio de suas táticas de phishing.
Acrescentou que o mesmo grupo norte-coreano APT também foi responsável pela campanha de phishing do Naver que foi anteriormente documentado por Prevailion em 15 de março.
A Coreia do Norte tem estado no centro das diferençasrent crimes de roubo de criptografia em 2022.
Com base em uma reportagem publicada pelo Serviço Nacional de Inteligência da Coreia do Sul (NIS) em dezembro de 2022, a Coreia do Norte roubou US$ 620 milhões em criptomoedas apenas neste ano.
Em outubro, a Agência Nacional de Polícia do Japão enviou um severo aviso aos negócios de criptoativos do país, aconselhando-os a serem muito cautelosos com os hackers norte-coreanos.
