Según los informes, hackers vinculados al grupo norcoreano Lazarus están detrás de una campaña masiva de phishing dirigida a inversores en tokens no fungibles (NFT), utilizando casi 500 dominios de phishing para engañar a las víctimas.

La empresa de seguridad de blockchain SlowMist publicó un informe el 24 de diciembre, revelando las tácticas que los grupos norcoreanos de Amenazas Persistentes Avanzadas (APT) han utilizado para separar a los inversores de NFT de sus NFT, incluyendo sitios web señuelo disfrazados de una variedad de plataformas y proyectos relacionados con NFT.

Ejemplos de estos sitios web falsos incluyen un sitio que pretende ser un proyecto asociado con la Copa del Mundo, así como sitios que se hacen pasar por conocidos mercados de NFT como OpenSea, X2Y2 y Rarible.

Según SlowMist, una de las tácticas utilizadas consistía en hacer que estos sitios web señuelo ofrecieran "acuñaciones maliciosas", lo que implica engañar a las víctimas haciéndoles creer que están acuñando un NFT legítimo conectando su monedero al sitio web.

Sin embargo, los NFT en realidad son fraudulentos, y el monedero de la víctima queda vulnerable al hacker que ahora tiene acceso a él.

El informe también reveló que muchos de los sitios web de phishing operaban bajo el mismo Protocolo de Internet (IP), con 372 sitios web de phishing de NFT bajo una única IP, y otros 320 sitios web de phishing de NFT asociados a otra IP.

Un ejemplo de sitio web de phishing. Fuente: SlowMist

Según SlowMist, la campaña de phishing lleva varios meses en marcha, y señala que el primer nombre de dominio registrado se produjo hace unos siete meses.

Otras tácticas de phishing utilizadas incluían el registro de los datos de los visitantes y su almacenamiento en sitios externos, así como la vinculación de imágenes a proyectos objetivo.

Una vez que el hacker estaba a punto de obtener los datos del visitante, procedía a ejecutar varios scripts de ataque en la víctima, lo que le permitía acceder a sus registros de acceso, autorizaciones, uso de logros de plugins, así como a datos sensibles como el registro de aprobación y sigData de la víctima.

Toda esta información le permite entonces al hacker acceder al monedero de la víctima, exponiendo todos sus activos digitales.

Sin embargo, SlowMist destacó que esto es solo la "punta del iceberg", ya que el análisis solo examinó una pequeña parte de los materiales y extrajo "algunas" de las características de phishing de los hackers norcoreanos.

Por ejemplo, SlowMist destacó que solo una dirección de phishing fue capaz de ganar 1,055 NFT y obtener ganancias de 300 ETH, por un valor de USD 367,000, a través de sus tácticas de phishing.

Añadió que el mismo grupo APT norcoreano también fue responsable de la campaña de phishing de Naver que Prevailion documentó previamente el 15 de marzo.

Corea del Norte ha estado en el centro de varios delitos de robo de criptomonedas en 2022.

Según un informe de noticias publicado por el Servicio Nacional de Inteligencia de Corea del Sur (NIS) el 22 de diciembre, Corea del Norte robó criptomonedas por un valor de USD 620 millones solo este año.

En octubre, la Agencia Nacional de Policía de Japón envió una advertencia a las empresas de criptoactivos del país, aconsejándoles que tuvieran cuidado con el grupo de hackers norcoreanos.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión

Sigue leyendo: