Según los informes, los piratas informáticos vinculados al grupo Lazarus de Corea del Norte están detrás de una campaña de phishing masiva dirigida a inversores de tokens no fungibles (NFT), utilizando casi 500 dominios de phishing para engañar a las víctimas.

La firma de seguridad Blockchain SlowMist publicó un informe el 24 de diciembre, que revela las tácticas que los grupos de amenazas persistentes avanzadas (APT) de Corea del Norte han utilizado para separar a los inversores de NFT de sus NFT, incluidos los sitios web señuelo que se hacen pasar por una variedad de plataformas y proyectos relacionados con NFT.

Ejemplos de estos sitios web falsos incluyen un sitio que pretende ser un proyecto relacionado con la Copa del Mundo, así como sitios que se hacen pasar por mercados NFT conocidos como OpenSea, X2Y2 y Rarible.

SlowMist dijo que una de las tácticas utilizadas fue que estos sitios web de señuelos ofrecieran «mentas maliciosas», lo que implica engañar a las víctimas para que crean que están acuñando un NFT legítimo al vincular su billetera al sitio web.

Sin embargo, el NFT es en realidad fraudulento y la billetera de la víctima sigue siendo vulnerable al pirata informático que ahora tiene acceso a ella.

El informe también reveló que muchos de los sitios web de phishing operaban bajo el mismo Protocolo de Internet (IP), con 372 sitios web de phishing NFTbajo una sola IP y otros 320 sitios web de phishing NFT asociados con otra IP.

SlowMist dijo que la campaña de phishing ha estado ocurriendo durante varios meses y señaló que el primer nombre de dominio registrado tenía unos siete meses.

Otras tácticas de phishing utilizadas incluyeron registrar datos de visitantes y guardarlos en sitios externos, así como vincular imágenes a proyectos de destino.

Después de que el pirata informático estuviera a punto de obtener los datos del visitante, procedería a ejecutar varios scripts de ataque en la víctima, lo que permitiría al pirata informático acceder a los registros de inicio de sesión de la víctima, permisos, uso de complementos de billeteras, así como datos confidenciales. como el registro de aprobación de la víctima y sigData.

Toda esta información le permite al pirata informático obtener acceso a la billetera de la víctima, exponiendo todos sus activos digitales.

Sin embargo, SlowMist enfatizó que esto es solo la «punta del iceberg», ya que el análisis examinó solo una pequeña fracción de los materiales y extrajo «algunas» de las características de phishing de los piratas informáticos norcoreanos.

Alerta de seguridad SlowMist

Grupo APT de Corea del Norte dirigido a usuarios de NFT con campaña de phishing a gran escala

Esto es sólo la punta del iceberg. Nuestro hilo cubre solo una fracción de lo que hemos descubierto.

vamos a bucear pic.twitter.com/DeHq1TTrrN

— Niebla Lenta (@SlowMist_Team) 24 de diciembre de 2022

Por ejemplo, SlowMist destacó que solo una dirección de phishing pudo ganar 1,055 NFT y ganar 300 ETH, por un valor de $ 367,000, a través de sus tácticas de phishing.

Agregó que el mismo grupo APT de Corea del Norte también fue responsable de la campaña de phishing de Naver documentada previamente por Prevailion el 15 de marzo.

Relacionado: Firma de seguridad blockchain advierte sobre nueva campaña de phishing MetaMask

Corea del Norte ha estado en el centro de varios delitos de robo de criptomonedas en 2022.

Corea del Norte ha robado USD 620 millones en criptomonedas solo este año, según un informe publicado por el Servicio de Inteligencia Nacional (NIS) de Corea del Sur el 22 de diciembre.

En octubre, la Agencia Nacional de Policía de Japón envió una advertencia a las empresas de criptomonedas en el país aconsejándoles que tuvieran cuidado con el grupo de piratas informáticos de Corea del Norte.