• Các tin tặc có liên hệ với Tập đoàn Lazarus của Bắc Triều Tiên đứng sau một chiến dịch lừa đảo nhắm vào các nhà đầu tư NFT và đánh cắp NFT của họ thông qua các trang web giả mạo.
• Chiến dịch đã sử dụng 500 tên miền và đã hoạt động được ít nhất 7 tháng, theo công ty bảo mật chuỗi khối SlowMist.
• SlowMist đã xác định một số đặc điểm của các trò lừa đảo, bao gồm ghi lại dữ liệu khách truy cập và yêu cầu bảng giá mặt hàng NFT, đồng thời khuyến nghị người dùng củng cố kiến ​​thức bảo mật để tránh trở thành nạn nhân của các cuộc tấn công như vậy.

Công ty bảo mật chuỗi khối SlowMist gần đây đã tiết lộ rằng các tin tặc có liên kết với Tập đoàn Lazarus của Bắc Triều Tiên đứng sau một chiến dịch lừa đảo lớn sử dụng 500 tên miền để lừa nạn nhân và nhắm mục tiêu vào NFT của họ. 

Theo công ty bảo mật, nhóm Mối đe dọa liên tục nâng cao (APT) của Triều Tiên nhắm mục tiêu đến các nhà đầu tư NFT và đánh cắp NFT của họ thông qua các trang web ngụy trang dưới dạng nhiều nền tảng và dự án liên quan đến NFT.

“Sau khi điều tra thêm, chúng tôi phát hiện ra rằng một trong những kỹ thuật được sử dụng trong cuộc tấn công lừa đảo này liên quan đến việc tạo các trang web giả mạo liên quan đến NFT với Mint độc hại. Những NFT này đã được bán trên các nền tảng như OpenSea, X2Y2 và Rarible,” SlowMist giải thích.

Gần đây, trong Giải vô địch bóng đá thế giới FIFA, một trang web giả vờ có liên quan đến nó đã xuất hiện. Và theo điều tra của công ty, “Bằng cách kiểm tra thông tin đăng ký của những tên miền này, chúng tôi thấy rằng ngày đăng ký sớm nhất đã được truy trở lại 7 tháng trước.”

Ngoài ra còn có bốn đặc điểm của những trò lừa đảo lừa đảo này được công ty xác định, đó là:

• Các trang web lừa đảo sẽ ghi lại dữ liệu của khách truy cập và lưu nó vào các trang web bên ngoài. Tin tặc ghi lại thông tin của khách truy cập vào miền bên ngoài thông qua yêu cầu HTTP GET. Mặc dù tên miền gửi yêu cầu là khác nhau nhưng giao diện API của yêu cầu là “/postAddr.php”. Định dạng chung là “https://nserva.live/postAddr.php?mmAddr=…[Metamask]…&accessTime=xxx&url=evil.site”, trong đó tham số mmAddr ghi lại địa chỉ ví của khách truy cập và accessTime ghi lại Thời gian truy cập của khách truy cập , URL ghi lại liên kết trang web lừa đảo mà khách truy cập hiện đang truy cập.
• Trang web lừa đảo sẽ yêu cầu bảng giá mặt hàng NFT, thông thường, đường dẫn yêu cầu HTTP là “getPriceData.php”
• Có một tệp “imgSrc.js” liên kết hình ảnh với dự án mục tiêu, chứa danh sách các trang web mục tiêu và vị trí lưu trữ của các tệp hình ảnh được sử dụng trên các trang web lừa đảo tương ứng của chúng. Tệp này có thể là một phần của mẫu trang web lừa đảo.
• Tên miền chính được APT sử dụng để theo dõi các yêu cầu của người dùng là “thedoodles.site,” chủ yếu được sử dụng để ghi lại dữ liệu người dùng trong những ngày đầu hoạt động của APT.

“Chứng chỉ HTTPS cho tên miền này đã được truy vấn 7 tháng trước, cho thấy rằng tổ chức tin tặc đã bắt đầu nhắm mục tiêu người dùng NFT vào thời điểm đó,” SlowMist đã làm rõ. 

Mặc dù, theo công ty bảo mật blockchain, nó không thể bao gồm tất cả thông tin mà cuộc điều tra của họ đã phát hiện ra vì lý do riêng tư, nhưng nó cũng tiết lộ rằng có các nhóm trang web lừa đảo NFT dưới cùng một IP của máy chủ, với 372 trang web lừa đảo NFT dưới một một IP và 20 trang web lừa đảo NFT được liên kết dưới một địa chỉ IP khác.

“SlowMist khuyên người dùng nên tăng cường hiểu biết về kiến ​​thức bảo mật và nâng cao hơn nữa khả năng xác định các cuộc tấn công lừa đảo để tránh trở thành nạn nhân của các cuộc tấn công đó. Để biết thêm thông tin bảo mật, chúng tôi khuyên bạn nên đọc 'Cẩm nang tự trợ giúp về khu rừng tối tăm về chuỗi khối',” SlowMist kết luận. 

Bài viết này được xuất bản trên BitPinas: Tin tặc Bắc Triều Tiên sử dụng 500 miền lừa đảo để đánh cắp NFT, báo cáo cho biết

Tuyên bố từ chối trách nhiệm: Các bài báo của BitPinas và nội dung bên ngoài của nó không phải là lời khuyên tài chính. Nhóm phục vụ cung cấp tin tức độc lập, không thiên vị để cung cấp thông tin cho tiền điện tử Philippine và hơn thế nữa.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://bitpinas.com/nft/north-korean-hackers-use-500-phishing-domains-to-steal-nfts-report-says/