Хакеры из северокорейской Lazarus Group теперь проникают в системы криптопроектов с помощью телефонного звонка. Эксперты CertiK предупреждают об изощрённой фишинг-атаке Mach-O Man, где обычный деловой разговор становится троянским конём.
Механика атаки: звонок вместо письма
Вместо рассылки писем злоумышленники звонят потенциальной жертве, представляясь коллегами из другой компании. В ходе беседы они предлагают обсудить реальное, на первый взгляд, сотрудничество или проект. Для убедительности после разговора отправляют файл — техническое описание, презентацию или коммерческое предложение по обсуждаемой теме.
Этот документ содержит вредоносный код, который активируется при открытии. Атака эксплуатирует уязвимости в программном обеспечении для обработки файлов. После заражения системы Lazarus Group получает удалённый доступ к компьютеру сотрудника и внутренней сети проекта.
Этот инцидент подтверждает, что северокорейские хакеры продолжают активную кампанию против DeFi-сектора.
Метод обходит многие традиционные системы защиты, так как исходит из доверительного канала — личного общения.
Повышение опасности целевых атак
Связанная с правительством КНДР группа Lazarus давно известна масштабными кражами криптоактивов для финансирования государственных программ. За последние годы её добычей стали миллиарды долларов.
Тактика Mach-O Man повышает эффективность: личное взаимодействие снижает бдительность жертвы, а целевой характер затрудняет обнаружение. CertiK отмечает, что атака нацелена в первую очередь на технических сотрудников и разработчиков, имеющих доступ к критическим системам и приватным ключам.
Ранее в этом месяце группа Лазарус уже похитила $292 млн через эксплойт в протоколе Kelp DAO.
Эволюция социальной инженерии в криптоиндустрии
Появление Mach-O Man знаменует переход от массового спама к точечным, хорошо подготовленным операциям, имитирующим реальные бизнес-процессы. Это усложняет задачу по обеспечению безопасности, требуя не только технических мер, но и постоянного обучения персонала.
Тренд на атаки через доверительные каналы вынуждает проекты пересматривать внутренние политики. Проверка личности собеседника, использование безопасных сред для открытия вложений и повышенная настороженность становятся критически важными даже в рутинном общении.
Эксперты ожидают, что подобные методы могут быть скопированы другими хакерскими группами, что повысит общий уровень угроз для всей индустрии.