Nordkoreanische Hacker zielen auf einen riesigen Krypto-Austausch – sind Benutzergelder sicher?

Eskere Guru

Nordkoreanische Hacker versuchen, Kryptowährungsexperten über gefälschte Stellenangebote für die Krypto-Austauschplattform Coinbase anzulocken.

Wie von Bleeping Computer berichtet , wurde eine Kampagne aufgedeckt, die von der bekannten nordkoreanischen Hacking-Gruppe Lazarus orchestriert wurde, und ihr Ziel sind diejenigen, die in der immer beliebter werdenden Fintech-Branche (Finanztechnologie) tätig sind.

Eine Darstellung eines Hackers, der mithilfe von Code in ein System eindringt.
Getty Images

Was eindeutig Teil eines Social-Engineering-Angriffs ist, führt die Hacking-Gruppe Gespräche mit Zielen über LinkedIn, was letztendlich dazu führt, dass dem potenziellen Opfer ein Stellenangebot präsentiert wird.

Coinbase ist ein führendes Unternehmen für den Austausch von Kryptowährungen, daher werden viele, die nicht in den Angriff eingeweiht sind, natürlich daran interessiert sein, sie in ihren Lebenslauf aufzunehmen. Sollte der Angriff jedoch erfolgreich sein, könnten die Folgen dazu führen, dass unzählige Krypto-Wallets beschlagnahmt und gestohlen werden.

Hossein Jazi, der als Sicherheitsforscher bei der Internetsicherheitsfirma Malwarebytes arbeitet und Lazarus seit Februar 2022 analysiert, sagte , dass sich Personen der Cybergang als Mitarbeiter von Coinbase ausgeben. Der Betrug lockt potenzielle Opfer an, indem er sich an sie wendet, um die Rolle des „Engineering Manager, Product Security“ zu übernehmen.

Wenn diese Person auf das gefälschte Stellenangebot hereinfällt, erhält sie schließlich die Anweisung, ein PDF herunterzuladen, in dem der Job vollständig erklärt wird. Die Datei selbst ist jedoch eigentlich eine bösartige ausführbare Datei, die ein PDF-Symbol verwendet, um Menschen auszutricksen.

Die Datei selbst heißt „Coinbase_online_careers_2022_07.exe“, was unschuldig genug erscheint, wenn Sie es nicht besser wüssten. Aber während es ein gefälschtes PDF-Dokument öffnet, das von den Angreifern erstellt wurde, lädt es auch bösartige DLL-Codes auf das System des Ziels.

Ein gefälschtes Stellenangebot für Coinbase in Form eines PDF.
Piepender Computer/@h2jazi

Nach erfolgreicher Installation auf dem System nutzt die Malware GitHub als zentrale Kommandozentrale, um Befehle zu erhalten, und hat dann freie Hand, um Angriffe auf gehackte Geräte durchzuführen.

US-Geheimdienste haben zuvor Warnungen bezüglich der Aktivitäten von Lazarus herausgegeben, mit Trojanern infizierte Kryptowährungs-Wallets und Investment-Apps herauszugeben, die es ihnen effektiv ermöglichen, private Schlüssel zu stehlen.

Und die Bemühungen der Gruppe waren, gelinde gesagt, lukrativ – das FBI stellte fest, dass es damals Kryptowährungen im Wert von über 617 Millionen Dollar gestohlen hatte.

Dieser spezielle Angriff, der mit einem Blockchain-basierten Spiel verbunden ist, kam aufgrund einer anderen irreführenden PDF-Datei zustande, die als Stellenangebot an einen der Blockchain-Ingenieure gesendet wurde. Sobald die Datei geöffnet wurde, wurde das System der Person infiziert, was Lazarus den Weg ebnete, um eine Sicherheitslücke zu finden und sie in großem Stil auszunutzen.

In jedem Fall ist die Aussicht beängstigend: Das Öffnen einer einzigen PDF-Datei führt dazu, dass das gesamte Netzwerk kompromittiert wird. Im Fall von Coinbase, das Krypto-Transaktionen in Milliardenhöhe abwickelt, kann man sich nur vorstellen, was das Ergebnis und die finanziellen Auswirkungen wären, wenn es Lazarus tatsächlich gelingt, einen Weg hinein zu finden.

Wenn Sie von Coinbase in irgendeiner Weise angesprochen werden, ist es vorerst vielleicht eine gute Idee, beim Öffnen von Dateien vorsichtig zu sein.