O grupo cibernético norte-coreano Lazarus adotou uma nova estratégia para infiltrar-se em projetos DeFi e roubar criptoativos, utilizando-se da identidade falsa de um executivo da Fenbushi Capital.
A empresa de segurança cibernética SlowMist revelou que o grupo está se passando por Nevil Bolson, supostamente um parceiro fundador da Fenbushi, para criar conexões no LinkedIn com desenvolvedores de software e líderes de projetos DeFi.
🚨Watch out for the #Lazarus 🥷🇰🇵 attack on the fake Fenbushi Capital on linkedin! @fenbushi @SlowMist_Team @boshen1011 @VitalikButerin 👇 pic.twitter.com/cAjAcPqkNj
— 23pds (@im23pds) April 29, 2024
A foto do perfil do impostor foi tirada do verdadeiro parceiro da Fenbushi Capital, Remington Ong, de acordo com 23pds. O perfil falso foi desmascarado após a SlowMist identificar discrepâncias nos endereços IP usados pelo suposto executivo, juntamente com a estratégia de ataque.
Táticas de engenharia social
SlowMist disse em uma postagem de blog que Lazarus tem como alvo projetos DeFi proeminentes, o que é uma das razões pelas quais o grupo de hackers se apresenta como membro de uma empresa de investimentos.
A abordagem do Lazarus consiste em ganhar a confiança das vítimas através de conversas sobre investimentos, progredindo para o agendamento de reuniões virtuais. Durante esses encontros, links maliciosos são compartilhados com as vítimas, que, ao serem acessados, resultam em ataques de phishing.
Esses links disfarçados, muitas vezes apresentados como páginas de eventos ou links para videoconferências, têm como objetivo final o acesso a informações sensíveis e carteiras de criptomoedas.
Impacto e precauções
O grupo Lazarus tem sido notoriamente responsável por uma série de roubos significativos no espaço das criptomoedas, contribuindo com uma parcela substancial das receitas externas da Coreia do Norte, que são frequentemente canalizadas para programas de desenvolvimento de armas de destruição em massa.
Este caso ressalta a importância de uma verificação rigorosa das credenciais em plataformas profissionais e a necessidade de cautela ao lidar com investimentos e comunicações em projetos de criptomoedas, especialmente em ambientes online suscetíveis a impostores.
