Según los informes, los piratas informáticos vinculados al Grupo Lazarus de Corea del Norte están detrás de una campaña de phishing masiva dirigida a inversores de tokens no fungibles (NFT), utilizando casi 500 dominios de phishing para engañar a las víctimas.
La firma de seguridad Blockchain SlowMist lanzó un informe el 24 de diciembre, revelando las tácticas que los grupos de amenazas persistentes avanzadas (APT) de Corea del Norte han utilizado para separar a los inversores de NFT de sus NFT, incluidos los sitios web de señuelo disfrazados de una variedad de plataformas y proyectos relacionados con NFT.
Ejemplos de estos sitios web falsos incluyen un sitio que pretende ser un proyecto asociado con la Copa del Mundo, así como sitios que se hacen pasar por mercados NFT conocidos como OpenSea, X2Y2 y Rarible.
SlowMist dijo que una de las tácticas utilizadas fue que estos sitios web de señuelo ofrecieran “mentas maliciosas”, lo que implica engañar a las víctimas para que piensen que están acuñando un NFT legítimo al conectar su billetera al sitio web.
Sin embargo, el NFT es en realidad fraudulento y la billetera de la víctima queda vulnerable al pirata informático que ahora tiene acceso a ella.
El informe también reveló que muchos de los sitios web de phishing operaban bajo el mismo Protocolo de Internet (IP), con 372 sitios web de phishing NFT bajo una sola IP y otros 320 sitios web de phishing NFT asociados con otra IP.
SlowMist dijo que la campaña de phishing ha estado en curso durante varios meses y señaló que el primer nombre de dominio registrado se produjo hace unos siete meses.
Otras tácticas de phishing utilizadas incluyeron registrar datos de visitantes y guardarlos en sitios externos, así como vincular imágenes a proyectos de destino.
Después de que el pirata informático estuviera a punto de obtener los datos del visitante, procedería a ejecutar varios scripts de ataque en la víctima, lo que permitiría al pirata informático acceder a los registros de acceso de la víctima, autorizaciones, uso de carteras complementarias, así como datos confidenciales. como el registro de aprobación de la víctima y sigData.
Toda esta información le permite al hacker acceder a la billetera de la víctima, exponiendo todos sus activos digitales.
Sin embargo, SlowMist enfatizó que esto es solo la “punta del iceberg”, ya que el análisis solo analizó una pequeña porción de los materiales y extrajo “algunas” de las características de phishing de los piratas informáticos de Corea del Norte.
Alerta de seguridad SlowMist
Grupo APT de Corea del Norte dirigido a usuarios de NFT con campaña de phishing a gran escala
Esto es sólo la punta del iceberg. Nuestro hilo solo cubre una fracción de lo que hemos descubierto.
vamos a sumergirnos pic.twitter.com/DeHq1TTrrN
— Niebla Lenta (@SlowMist_Team) 24 de diciembre de 2022
Por ejemplo, SlowMist destacó que solo una dirección de phishing pudo obtener 1055 NFT y obtener una ganancia de 300 ETH, por un valor de $367 000, a través de sus tácticas de phishing.
Agregó que el mismo grupo APT de Corea del Norte también fue responsable de la campaña de phishing de Naver que anteriormente documentado por Prevailion el 15 de marzo.
Relacionado: Firma de seguridad blockchain advierte sobre nueva campaña de phishing MetaMask
Corea del Norte ha estado en el centro de varios delitos de robo de criptomonedas en 2022.
Según un informe de noticias publicado por el Servicio de Inteligencia Nacional (NIS) de Corea del Sur el 22 de diciembre, Corea del Norte robó USD 620 millones en criptomonedas solo este año.
En octubre, la Agencia Nacional de Policía de Japón envió una advertencia a las empresas de criptoactivos del país aconsejándoles que tuvieran cuidado con el grupo de piratería de Corea del Norte.