Posté le décembre 27, 2022 à 7:06

DES HACKERS NORD-CORÉENS UTILISENT 500 DOMAINES DE PHISHING POUR VOLER DES NFTS

Le groupe Lazarus, un groupe d’acteurs de menaces basé en Corée du Nord, a mené une campagne de phishing massive visant les jetons non fongibles (NFT). Le groupe a déployé environ 500 domaines de phishing pour cibler les investisseurs en NFT.

Des hackers Nord-Coréens utilisent des domaines de phishing pour voler des NFTs

SlowMist, une société de sécurité blockchain, a révélé les détails entourant les campagnes de phishing menées par des groupes de menaces persistantes avancées (APT) basés en Corée du Nord. Le rapport de SlowMist a fait remarquer que ces groupes ont utilisé des méthodes malveillantes pour voler des NFT.

L’une des méthodes les plus populaires utilisées par les attaquants consistait à utiliser de faux sites Web prétendant offrir un accès à divers projets et plateformes NFT. Le rapport indique que l’un de ces faux sites Web était un site qui simulait un projet associé à la Coupe du monde de la FIFA récemment achevée. D’autres sites usurpaient l’identité de plateformes NFT populaires telles qu’OpenSea, Rarible et X2Y2.

Le rapport de SlowMist indique que l’une des méthodes utilisées par l’attaquant après qu’un utilisateur ait visité ces faux sites Web était de lui promettre des monnaies NFT. Cependant, ces monnaies étaient malveillantes et faisaient croire à la victime qu’elle était en train de frapper un vrai NFT. Le site Web invitait la victime à lier son portefeuille au site Web. Une fois que l’utilisateur a fait cela, le NFT contenu dans son portefeuille est volé.

Les NFT proposés par ces monnaies étaient malveillants, permettant au hacker d’accéder au portefeuille de la victime. Selon le rapport, la plupart des sites de phishing utilisent le même protocole Internet (IP). 372 sites de phishing ont fonctionné avec une seule IP, tandis que 320 sites de phishing NFT ont utilisé une autre IP unique.

Le rapport indique également que les hackers ont mené cette campagne de phishing pendant plusieurs mois, ajoutant que le nom de domaine enregistré au plus tôt l’a été il y a sept mois. Cela montre que les hackers menaient cette campagne de phishing depuis longtemps et que, pendant cette période, ils ont pu toucher de nombreux investisseurs de NFT qui avaient accédé aux sites Web malveillants.

Outre l’utilisation de ces faux sites web pour offrir des monnaies NFT gratuites, les hackers ont également utilisé d’autres méthodes de phishing. Ces méthodes consistaient notamment à enregistrer les données d’un visiteur et à sauvegarder ensuite ces données sur un site externe. Ils ont également lié des images aux projets ciblés.

Lorsque le hacker a obtenu les données des visiteurs du site Web, il a exécuté plusieurs scripts d’attaque sur la victime. Cela permettait au hacker d’accéder aux enregistrements d’accès des victimes. Ils ont également utilisé les données pour obtenir des autorisations et utiliser les portefeuilles de plug-in. Ils ont également eu accès aux données sensibles de la victime et ont approuvé les enregistrements de la victime.

Une fois que le hacker a eu accès à toutes ces informations, il a pu accéder au portefeuille de la victime, d’où il a volé des actifs numériques. Compte tenu des tactiques utilisées par les acteurs de la menace, il est probable que la campagne ait déjà causé des pertes importantes.

Le rapport de SlowMist fait aussi savoir qu’il ne s’agit peut-être que de la « pointe de l’iceberg », car l’analyse n’a porté que sur une petite partie de la campagne de phishing. De plus, le rapport ne s’est concentré que sur quelques caractéristiques des hackers basés en Corée du Nord. Par conséquent, si l’analyse avait accordé plus d’attention à un large éventail de caractéristiques, elle aurait pu mettre au jour davantage de campagnes de phishing ciblant les détenteurs d’actifs numériques.

L’ampleur de ces violations pourrait également être importante, étant donné que l’une des adresses de phishing a réussi à obtenir l’accès à 1 055 NFT, où elle a aussi réalisé des profits de 300 ETH. Par conséquent, les 500 sites de domaine pourraient avoir volé de nombreux NFT ensemble.

Le rapport indique en outre que le groupe de hackers Nord-Coréens est responsable de la campagne de phishing de Naver. Cette campagne de phishing avait déjà été documentée le 15 mars par Prevailion.

Les hackers Nord-Coréens ciblent les cryptomonnaies

Les hackers Nord-Coréens ont été associés à de multiples vols dans l’espace des cryptomonnaies cette année. Un rapport du Service national de renseignement de Corée du Nord indique que les hackers Nord-Coréens ont volé pour 620 millions de dollars d’actifs numériques rien qu’en 2022.

Plus tôt cette année, le groupe Nord-Coréen Lazarus a été associé à une violation du pont Sky Mavis Ronin, où les attaquants ont volé plus de 600 millions de dollars d’actifs cryptographiques. L’activité des hackers Nord-Coréens dans l’espace cryptographique a également conduit l’Agence nationale de police du Japon à avertir les entreprises de cryptomonnaie du pays de se méfier des hackers Nord-Coréens.