Hackers uit Noord-Korea gebruiken bijna 500 phishing domeinen om NFT’s te stelen

Hackers uit Noord-Korea die gelinkt kunnen worden aan de beruchte Lazarus Group zitten naar verluidt achter een massale phishing-campagne die gericht is op Non-Fungible Token (NFT)-investeerders. Naar verluidt wordt hierbij gebruik gemaakt van bijna 500 phishing-domeinen om slachtoffers te misleiden.

NFT’s stelen via lokwebsites

Dit heeft het blockchain-beveiligingsbedrijf SlowMist bekend gemaakt in een nieuw gelanceerd rapport, waarin de tactieken onthuld zijn die de Noord-Koreaanse ‘Advanced Persistent Threat’ (APT)-groepen hebben gebruikt om NFT’s te stelen van NFT-investeerders. Hieronder vallen onder andere lokwebsites die vermomd zijn als een verscheidenheid aan NFT-gerelateerde platforms en -projecten.

Een voorbeeld van zo’n website is één die die zich voordoet als een project dat verband houdt met het WK. Er zijn echter ook van deze nep websites die zich voordoen als bekende NFT-marktplaatsen zoals OpenSea, X2Y2 en Rarible. Het is benoemingswaardig dat deze websites vaak erg goed nagemaakt zijn, waardoor het lastig kan zijn om ze van de echte te onderscheiden.

Volgens het blockchain-beveiligingsbedrijf is één van de gebruikte tactieken om deze lokwebsites “kwaadaardige pepermuntjes” te laten aanbieden. Dit houdt in dat de slachtoffers misleid worden door te denken dat ze een legitieme NFT slaan door hun wallet aan de website te koppelen. Vervolgens wordt echter hun hele wallet leeggetrokken door de hacker(s).

Ook andere tactieken ingezet

Het is benoemingswaardig dat veel van de websites onder hetzelfde internetprotocol (ip) werken. Naar verluidt zouden er 372 NFT-phishing-websites onder één enkel IP-adres hebben gewerkt en hiernaast nog eens 320 NFT-phishing-websites die aan een ander IP-adres waren gekoppeld.

De websites zijn in enkele maanden live geweest en de domeinen zijn 7 maanden geleden geregistreerd. Naast de phishing-websites zijn ook andere tactieken ingezet om de NFT’s te stelen. Deze andere tactieken die werden gebruikt, waren onder andere het vastleggen van bezoekersgegevens en het opslaan ervan op externe sites, evenals het koppelen van afbeeldingen aan doelprojecten.

Nadat de hacker(s) de gegevens van de bezoeker wisten te bemachtigen, zouden ze diverse aanvalsscripts op het slachtoffer hebben uitgevoerd. Hierdoor wisten de hackers toegang te krijgen tot onder andere de toegangsgegevens, autorisaties, het gebruik van plug-in-wallets en gevoelige gegevens van het slachtoffer zoals het goedkeuringsdossier van het slachtoffer en sigData. Met deze data kan de hacker vervolgens toegang krijgen tot de wallets van de slachtoffers. Deze wallets werden vervolgens leeggetrokken.

Topje van de ijsberg

Volgens SlowMist zou dit echter slechts het “topje van de ijsberg” kunnen zijn. Dit gezien het feit dat de analyse slechts naar een klein deel van het materiaal heeft gekeken en slechts enkele van de phishing-kenmerken van de Noord-Koreaanse hackers eruit haalde. In zijn totaliteit is er naar verwachting dus veel meer gestolen dan het rapport nu aangeeft.

SlowMist benadrukte bijvoorbeeld dat slechts één phishing-adres alleen al in staat was om 1.055 NFT’s te winnen en 300 Ethereum (ETH), ter waarde van circa $367.000 (€345.000), te verdienen door middel van de phishing-tactieken. Hier voegde ze tot slot nog aan toe dat dezelfde Noord-Koreaanse APT-groep ook verantwoordelijk was voor de phishing-campagne van Naver die eerder op 15 maart door Prevailion was gedocumenteerd. Ook hier wisten de hackers voor een aanzienlijk bedrag in crypto’s te stelen.