Según los informes, los piratas informáticos asociados con el Grupo Lazarus de Corea del Norte están detrás de una campaña masiva de phishing dirigida a inversores de tokens no fungibles (NFT), utilizando casi 500 dominios de phishing para engañar a las víctimas.
La firma de seguridad Blockchain SlowMist publicó un informe el 24 de diciembre que reveló las tácticas que los grupos de amenazas persistentes avanzadas (APT) de Corea del Norte han utilizado para separar a los inversores de NFT de sus NFT, incluidos los sitios web de señuelo que operan como una multitud camuflados por plataformas y proyectos relacionados con NFT.
Ejemplos de estos sitios web falsos incluyen un sitio web que pretende ser un proyecto relacionado con la Copa del Mundo y sitios web que se hacen pasar por mercados NFT conocidos como OpenSea, X2Y2 y Rarible.
SlowMist dijo que una de las tácticas utilizadas fue que estos sitios web de cebo ofrecieran «mentas maliciosas», que consisten en engañar a las víctimas para que crean que están acuñando un NFT legítimo al conectar su billetera al sitio web.
Sin embargo, el NFT es en realidad fraudulento y la billetera de la víctima sigue siendo vulnerable al pirata informático que ahora tiene acceso a ella.
El informe también reveló que muchos de los sitios web de phishing operaban bajo el mismo Protocolo de Internet (IP), con 372 sitios web de phishing NFT conectados bajo una sola IP y otros 320 sitios web de phishing NFT conectados a una IP diferente.
SlowMist dijo que la campaña de phishing ha estado ocurriendo durante varios meses y señaló que el primer nombre de dominio registrado se produjo hace unos siete meses.
Otras tácticas de phishing utilizadas incluyeron registrar datos de visitantes y almacenarlos en sitios web externos, y vincular imágenes a proyectos de destino.
Después de que el pirata informático quisiera obtener los datos del visitante, ejecutó varios scripts de ataque en la víctima que le dieron acceso al pirata informático a los registros de acceso de la víctima, permisos, uso de billeteras complementarias y datos confidenciales de la víctima como el registro de permisos de la víctima. y sigData.
Toda esta información le permite al pirata informático obtener acceso a la billetera de la víctima, exponiendo todos sus activos digitales.
Sin embargo, SlowMist enfatizó que esto es solo la «punta del iceberg», ya que el análisis solo analizó una pequeña porción de los materiales y extrajo «algunos» de los rasgos de phishing de los piratas informáticos de Corea del Norte.
Advertencia de seguridad SlowMist
El grupo APT de Corea del Norte se dirige a los usuarios de NFT con una campaña de phishing a gran escala
Esto es sólo la punta del iceberg. Nuestro hilo cubre solo una fracción de lo que descubrimos.
vamos a sumergirnos pic.twitter.com/DeHq1TTrrN
— Niebla Lenta (@SlowMist_Team) 24 de diciembre de 2022
Por ejemplo, SlowMist destacó que solo una dirección de phishing pudo obtener 1055 NFT y ganar 300 ETH por un valor de $ 367 000 solo a través de su táctica de phishing.
Agregó que el mismo grupo APT de Corea del Norte también fue responsable de la campaña de phishing de Naver documentada previamente por Prevailion el 15 de marzo.
Relacionado:Firma de seguridad blockchain advierte sobre nueva campaña de phishing MetaMask
Corea del Norte ha estado en el centro de varios delitos de robo de criptomonedas en 2022.
Corea del Norte ha robado USD 620 millones en criptomonedas solo este año, según un informe de noticias publicado por el Servicio de Inteligencia Nacional (NIS) de Corea del Sur el 22 de diciembre.
En octubre, la Agencia Nacional de Policía de Japón envió una advertencia a las empresas de criptoactivos del país, aconsejándoles que tuvieran cuidado con el grupo de piratería de Corea del Norte.
