跨链，小心！ deBridge 标记未遂网络钓鱼攻击，怀疑 Lazarus Group

跨链协议和 Web3 公司继续成为黑客组织的目标，因为 deBridge Finance 破解了一次失败的攻击，该攻击具有朝鲜拉撒路集团黑客的特征。

周五下午，deBridge Finance 的员工收到了另一封看似普通的电子邮件，来自联合创始人亚历克斯·斯米尔诺夫 (Alex Smirnov)。标有“新薪资调整”的附件必然会引起人们的兴趣，各种加密货币公司裁员和减薪 在持续的加密货币冬季期间。

少数员工将电子邮件及其附件标记为可疑，但一名员工上钩并下载了 PDF 文件。这将被证明是偶然的，因为 deBridge 团队致力于解压缩从旨在镜像 Smirnov 的欺骗电子邮件地址发送的攻击媒介。

该联合创始人在 8 月 5 日发布的一个冗长的 Twitter 线程中深入研究了网络钓鱼攻击企图的复杂性，作为更广泛的加密货币和 Web3 社区的公共服务公告：

1/@deBridgeFinance 一直是未遂网络攻击的目标，显然是 Lazarus 组织所为。

对于 Web3 中的所有团队的 PSA，此活动可能很普遍。pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__)2022 年 8 月 5 日

Smirnov 的团队指出，该攻击不会感染 macOS 用户，因为尝试在 Mac 上打开链接会导致带有普通 PDF 文件 Adjustments.pdf 的 zip 存档。然而，正如 Smirnov 解释的那样，基于 Windows 的系统存在风险：

“攻击向量如下：用户打开电子邮件中的链接，下载并下载。打开存档，尝试打开 PDF，但 PDF 要求输入密码。用户打开 password.txt.lnk 并感染整个系统。”

文本文件会造成损害，执行 cmd.exe 命令检查系统是否有防病毒软件。如果系统没有受到保护，恶意文件会保存在自动启动文件夹中，并开始与攻击者通信以接收指令。

deBridge 团队允许脚本接收指令，但取消了执行任何命令的能力。这表明该代码收集了大量有关系统的信息并将其导出给攻击者。在正常情况下，黑客可以从此时开始在受感染的机器上运行代码。

斯米尔诺夫链接 回到早期对 Lazarus Group 使用相同文件名进行的网络钓鱼攻击的研究：

#Dangerous密码 （加密核心/加密模拟）＃易于 :
b52e3aaf1bd6e45d695db573abc886dc
密码.txt.lnk

www[.]googlesheet[.]info - 重叠的基础设施@h2jazi 的推文以及早期的活动。

d73e832c84c45c3faa9495b39833adb2
新薪资调整.pdfhttps://t.co/kDyGXvnFaz
- 女妖女王 Strahdslayer (@cyberoverdrive)2022 年 7 月 21 日

2022 年跨桥黑客攻击激增区块链分析公司 Chainalysis 强调 .今年，价值超过 20 亿美元的加密货币在 13 次不同的攻击中被盗，占被盗资金的近 70%。Axie Infinity 的 Ronin 桥是迄今为止受灾最严重的 - 2022 年 3 月，黑客损失了 6.12 亿美元。