据信与总部位于朝鲜的网络犯罪组织Lazarus有关的黑客通过针对加密货币公司 deBridge Finance 企图进行另一次数字抢劫。
正如Bleeping Computer 报道的那样,deBridge 作为一种“流动性转移协议,允许在多个区块链平台之间进行分散的数据和资产转移”。
据报道,仅这一事实就足以让 Lazarus 将该公司作为其最新目标。通过向员工发送网络钓鱼电子邮件来尝试破坏。如果打开,它会用恶意软件感染系统,随后允许它从网络中的 Windows 驱动的设备获取敏感信息。
它还将为在网络攻击的高级阶段激活另一轮恶意代码奠定基础。
上周,deBridge Finance 的员工收到了一封来自黑客的电子邮件,黑客冒充该公司的联合创始人 Alex Smirnov。该电子邮件通过 HTML 文件包含有关“新工资调整”的虚假详细信息。
该文件被伪装成 PDF,并加入了一个 Windows 快捷方式文件 (.LNK),该文件试图通过伪装成密码文本文件来引诱受害者。
打开修改后的 PDF 文件后,随后会启动一个云存储位置,提示用户返回伪造的文本文件以获取密码。从这里,LNK 文件使用一个命令连接到命令提示符,该命令检索和加载远程存储的有效负载。
由于黑客现在使用其恶意软件入侵系统,它可以获得有关目标系统的相关信息,例如用户名、操作系统、CPU、网络适配器和运行进程。
尽管看到这封电子邮件的大多数员工都报告说它可疑,但有一个人没有意识到内容的误导性。一旦该员工下载并打开了伪造文件,斯米尔诺夫就表示他能够检查攻击本身。
由于在较早的攻击中发现的文件名和基础设施相似,来自 Lazarus 组织的朝鲜黑客被怀疑是这一特定事件的幕后黑手。
Lazarus 小组最近肯定很活跃。它最近试图通过冒充加密货币交易所 Coinbase 来通过类似的电子邮件活动来欺骗加密货币专家。在其他地方,黑客与今年早些时候价值 6.17 亿美元的巨额加密货币抢劫案有关。