Недавно раскрылся сложный фишинг-атакой с использованием #Zoom с жертвой Кенни Ли – соучредителя Manta Network, проекта второго уровня на Ethereum. Более тревожно: группа, стоящая за этим, вероятно, является группой Lazarus, известной хакерской организацией, поддерживаемой северокорейским государством. Этот инцидент шокировал крипто-сообщество.
"Видеозвонок, но никто ничего не говорит" – смертельная ловушка Zoom
Кенни Ли поделился, что его пригласили на Zoom-звонок от хорошо знакомого человека. На встрече на экране появились знакомые лица – они выглядели совершенно реалистично. Но странным образом никто не говорил, и появилось сообщение с просьбой загрузить скрипт для исправления звуковой проблемы.
«Я ясно видел их лица, все выглядело очень реально. Но я ничего не слышал… и они сказали мне загрузить файл скрипта. Я сразу вышел из встречи», – написал Кенни в X.
При подозрении он требует перейти на Google Meet. Преступник отказывается. Всего через несколько минут все сообщения были удалены, а аккаунт Кенни заблокирован. По словам специалистов по безопасности, это типичный прием группы Lazarus.
Атака с использованием deepfake, вредоносного ПО и психологии
Этот инцидент не является единичным. По данным исследовательской группы безопасности Paradigm и Google Threat Intelligence Group (GTIG), группа Lazarus обновляет свои методы атак, сочетая deepfake-видео, вредоносное ПО и навыки манипуляции психологии (social engineering), нацеливаясь на основателей и высокопоставленных руководителей в индустрии криптовалют.
Один типичный сценарий выглядит так:
Сообщение указывает на наличие проблемы со звуком при звонке в Zoom.
Знакомые лица появляются, создавая чувство безопасности.
После этого жертву просят загрузить "звуковой патч".
Загружаемый файл на самом деле является вредоносным ПО, которое может контролировать устройство или красть конфиденциальную информацию.
«Они используют человеческую психологию – когда вы думаете, что взаимодействуете с знакомым, вы легче теряете бдительность. Но как только вы установите вредоносное ПО, вы проиграли», – предостерегает Ник Бакс из организации SEAL.
Многие другие основатели также являются целью
Не только Кенни Ли. Джулио Ксилоаннис – соучредитель платформы Web3 MON Protocol – также чуть не стал жертвой. Один #Hacker выдал себя за партнера проекта и заставил его перейти на Zoom во время встречи. Но к счастью, Джулио заметил подозрительное и поделился своим опытом в социальных сетях, чтобы предупредить сообщество.
Организованная глобальная кампания атаки
Согласно отчетам от Google и группам кибербезопасности, Lazarus является лишь одной из многих ветвей в сети хакеров, поддерживаемых государством Северной Кореи. Другие группы включают:
AppleJeus – специализируется на выдаче себя за работодателя для установки вредоносного ПО.
APT38 – специализируется на крупномасштабном финансовом воровстве.
TraderTraitor – маскируется под разработчика для распространения вредоносного кода через пакет npm, поддельное резюме или программные документы.
В настоящее время многие разработчики выдают себя за граждан США, Великобритании, Германии и даже Сербии, проникая в группы разработчиков Web3 по всему миру. Это часть усилий по сбору иностранной валюты для правительства Северной Кореи через действия по краже цифровых активов.
Как должно реагировать крипто-сообщество?
По словам Samczsun – эксперта по безопасности в Paradigm, индустрия Web3 сталкивается с растущей угрозой. Крипто-компаниям необходимо:
Используйте двухфакторную аутентификацию (2FA).
Установите минимальные права доступа (least privilege).
Изолируйте рабочие устройства.
Не загружайте файлы из подозрительных звонков.
Активно связывайтесь с экстренными службами, такими как SEAL 911, в случае инцидента.
Связь с пользователями Binance и крипто-рынком
Этот инцидент подчеркивает растущую опасность сложных мошеннических тактик в мире Web3. С миллионами пользователей, участвующих в проектах DeFi, NFT или Layer-2, таких как Manta Network, крайне важно распознавать новые уловки хакеров.
Пользователи на Binance и других крупных платформах должны быть осторожны, особенно с:
Видеозвонки от незнакомцев или выдающих себя за знакомых.
Запрос на загрузку файла или открытие внешней ссылки во время встречи.
Встречи, на которых участники "ничего не говорят", но все равно присутствуют.
Binance многократно предупреждала пользователей о рисках сложного мошенничества. В условиях продолжающихся изменений тактики группы Lazarus, сообществу необходимо постоянно обновлять информацию и делиться предупреждениями друг с другом для защиты своих активов.
Предупреждение о риске
Эта статья предназначена для предоставления важной информации о безопасности в области криптовалют. Однако пользователи должны понимать, что:
Крипто-рынок содержит множество рисков, не только в отношении цен, но и в области кибербезопасности. Всегда проверяйте источник информации, будьте осторожны с вложениями и не делитесь информацией о кошельках или личными ключами ни с кем. Криптовалюта не подходит всем – тщательно обдумайте, прежде чем инвестировать или участвовать в платформах Web3.