Les pirates nord-coréens ciblent les travailleurs de la cryptographie
Des pirates soupçonnés d'être associés au groupe cybercriminel nord-coréen Lazarus ont tenté un autre braquage numérique en ciblant la société de crypto-monnaie deBridge Finance.
Comme l'a rapporté Bleeping Computer , deBridge fonctionne comme un "protocole de transfert de liquidité qui permet un transfert décentralisé de données et d'actifs" entre plusieurs plates-formes de blockchain.
Ce seul fait était une raison suffisante pour que Lazarus fasse de l'entreprise sa dernière cible. La violation a été tentée en envoyant un e-mail de phishing aux employés. S'il était ouvert, il infecterait le système avec des logiciels malveillants , lui permettant par la suite d'obtenir des informations sensibles à partir d'appareils fonctionnant sous Windows sur le réseau.
Cela jetterait également les bases d'une autre série de codes malveillants à activer à un stade avancé de la cyberattaque.
Les employés de deBridge Finance ont reçu un e-mail la semaine dernière des pirates informatiques, qui se faisaient passer pour le co-fondateur de l'entreprise, Alex Smirnov. L'e-mail contenait de faux détails sur les "nouveaux ajustements salariaux" via un fichier HTML.
Ce fichier était masqué en tant que PDF, rejoint par un fichier de raccourci Windows (.LNK) qui tentait d'attirer les victimes en se faisant passer pour un fichier texte de mot de passe.
Une fois le fichier PDF falsifié ouvert, un emplacement de stockage dans le cloud est ensuite lancé, invitant l'utilisateur à se référer au faux fichier texte pour obtenir un mot de passe. À partir de là, le fichier LNK se connecte à l'invite de commande avec une commande qui récupère et charge une charge utile stockée à distance.
Les pirates pénétrant désormais dans le système avec ses logiciels malveillants, ils pourraient obtenir des informations pertinentes sur le système cible, telles que le nom d'utilisateur, le système d'exploitation, le processeur, les adaptateurs réseau et les processus en cours d'exécution.
Bien que la majorité des employés qui ont vu l'e-mail l'aient signalé comme suspect, une personne n'était pas au courant de la nature trompeuse du contenu. Une fois que cet employé a téléchargé et ouvert le faux document, Smirnov a déclaré qu'il était en mesure d'examiner l'attaque elle-même.
Des pirates nord-coréens du groupe Lazarus sont soupçonnés d'être à l'origine de cet incident particulier en raison de la similitude des noms de fichiers et de l'infrastructure découverte lors d'une attaque antérieure.
Le groupe Lazarus a certainement été actif ces derniers temps. Il a récemment tenté de tromper les experts en crypto avec une campagne de courrier électronique similaire en se faisant passer pour l'échange de crypto-monnaie Coinbase. Ailleurs, les pirates ont été liés à un énorme braquage de crypto de 617 millions de dollars plus tôt cette année.