El equipo de piratería de Corea del Norte, Lazarus Group, se enfocó en varios intercambios de cifrado el año pasado, Chainalysis informes. Uno de los ataques implicó la creación de un sitio web falso, pero realista, de bot comercial que se ofreció a los empleados de DragonEx Exchange.
En marzo de 2019, los piratas informáticos robaron aproximadamente $ 7 millones en varias criptomonedas del intercambio DragonEx con sede en Singapur. Aunque era una suma relativamente pequeña, los hackers hicieron todo lo posible para obtenerla.
El grupo utilizó un sofisticado ataque de phishing en el que crearon un sitio web realista y presencia en las redes sociales para una compañía falsa llamada WFC Proof. La supuesta compañía había creado Worldbit-bot, un bot comercial que luego se ofreció a los empleados de DragonEx.
Captura de pantalla del sitio web falso. Fuente: Chainalisis
Aunque el software supuestamente se parecía a un robot comercial real, contenía malware que podría secuestrar la computadora que infectaba. Finalmente, el software se instaló en una máquina que contenía las claves privadas de la billetera caliente de DragonEx, lo que permitió a los piratas informáticos robar los fondos.
El ataque es notable por su objetivo y ejecución altamente específicos. Los piratas informáticos parecen estar muy versados en criptomonedas, incluso colocar una advertencia irónica en su sitio web para no permitir que nadie acceda a claves privadas personales.
Retiro rápido
El grupo era conocido anteriormente por estacionar el dinero robado por hasta 18 meses y cobrarlo una vez que la costa parecía despejada.
En 2019 cambiaron su comportamiento, eligiendo cambiar el dinero lo antes posible. Para hacer esto, Lázaro comenzó a usar billeteras habilitadas para CoinJoin para mezclar sus monedas.
Los piratas informáticos retiraron la mayor parte del dinero en los 60 días posteriores al ataque, en lugar de casi un año completo para los ataques de 2018.