Hackers norcoreanos roban NFT utilizando casi 500 dominios de phishing

Hackers norcoreanos roban NFT utilizando casi 500 dominios de phishing

Según los informes, piratas informáticos vinculados al grupo norcoreano Lazarus están detrás de una campaña masiva de phishing dirigida a inversores en fichas no fungibles (NFT), utilizando casi 500 dominios de phishing para engañar a las víctimas.

La empresa de seguridad de blockchain SlowMist publicó un informe del 24 de diciembre, en el que se revelan las tácticas que los grupos norcoreanos de amenazas persistentes avanzadas (APT) han utilizado para separar a los inversores en NFT de sus NFT, incluidos sitios web señuelo disfrazados de diversas plataformas y proyectos relacionados con NFT.

Ejemplos de estos sitios web falsos incluyen un sitio que pretende ser un proyecto asociado con la Copa del Mundo, así como sitios que se hacen pasar por conocidos mercados de NFT como OpenSea, X2Y2 y Rarible.

Según SlowMist, una de las tácticas utilizadas consistía en que estos sitios web señuelo ofrecieran “mentas maliciosas”, lo que implica engañar a las víctimas haciéndoles creer que están acuñando un NFT legítimo conectando su monedero al sitio web.

Sin embargo, el NFT es en realidad fraudulento, y el monedero de la víctima queda vulnerable ante el hacker, que ahora tiene acceso a él.

El informe también reveló que muchos de los sitios web de phishing operaban bajo el mismo Protocolo de Internet (IP), con 372 sitios web de phishing NFT bajo una única IP, y otros 320 sitios web de phishing NFT asociados a otra IP.

Un ejemplo de sitio web de phishing Fuente: SlowMist

SlowMist afirma que la campaña de phishing lleva varios meses en marcha, y señala que el primer nombre de dominio registrado se produjo hace unos siete meses.

Otras tácticas de phishing utilizadas incluían el registro de los datos de los visitantes y su almacenamiento en sitios externos, así como la vinculación de imágenes a proyectos objetivo.

Una vez que el pirata informático estaba a punto de obtener los datos del visitante, procedía a ejecutar varios scripts de ataque en la víctima, lo que le permitía acceder a los registros de acceso de la víctima, las autorizaciones, el uso de monederos complementarios, así como a datos sensibles como el registro de aprobación de la víctima y sigData.

Toda esta información permite entonces al hacker acceder al monedero de la víctima, exponiendo todos sus activos digitales.

Sin embargo, SlowMist subrayó que esto es sólo la “punta del iceberg”, ya que el análisis sólo examinó una pequeña parte de los materiales y extrajo “algunas” de las características de phishing de los hackers norcoreanos.

Por ejemplo, SlowMist destacó que solo una dirección de phishing fue capaz de ganar 1.055 NFT y beneficiarse de 300 ETH, por valor de 367.000 dólares, a través de sus tácticas de phishing.

Añadió que el mismo grupo APT norcoreano también fue responsable de la campaña de phishing de Naver que fue previamente documentada por Prevailion el 15 de marzo.

Relacionado: La empresa de seguridad Blockchain advierte de una nueva campaña de phishing MetaMask

Corea del Norte ha estado en el centro de varios delitos de robo de criptodivisas en 2022.

Según un informe publicado por el Servicio Nacional de Inteligencia de Corea del Sur (NIS) el 22 de diciembre, Corea del Norte robó criptodivisas por valor de 620 millones de dólares solo este año.

En octubre, la Agencia Nacional de Policía de Japón envió una advertencia a las empresas de criptoactivos del país aconsejándoles que tuvieran cuidado con el grupo de piratas informáticos norcoreanos.

Source: COIN TELEGRAPH

RODRIGO DI PAULA AMBRISSI: