تم استنزاف محفظة العملات المشفرة الخاصة بالمدير التنفيذي السابق لشركة Animoca بعد تنزيل تحديث مزيف لتطبيق Zoom أثناء هجوم تصيد مرتبط بمجموعة القرصنة الكورية الشمالية Lazarus.
كشف مهدي فاروق، الشريك الاستثماري في Hypersphere والمدير التنفيذي السابق لشركة Animoca Brands، في منشور على X يوم الخميس أنه فقد جزءًا كبيرًا من مدخرات حياته في اختراق Zoom المرتبط بمجموعة القرصنة الكورية الشمالية Lazarus.
بدأت عملية الاحتيال عندما تلقى فاروق رسالة عبر تيليجرام من أليكس لين، وهو صديق عمل. طلب لين منه التواصل، فأرسل فاروق رابط Calendly الخاص به لجدولة مكالمة.
في اليوم التالي، قبل وقت قصير من الاجتماع، أرسل لين رسالة مرة أخرى، يطلب فيها تحويل المكالمة إلى Zoom Business "لأسباب تتعلق بالامتثال"، موضحًا أن أحد شركائه المحدودين، كينت – الذي كان فاروق يعرفه أيضًا – سينضم إلى المكالمة.
بدا اجتماع زووم شرعيًا. كان كلا المشاركين يُشغّلان الكاميرات، ولكن لم يكن هناك صوت. في محادثة زووم، ذكرا أنهما يواجهان مشاكل تقنية وطلبا من فاروق تحديث برنامج زووم الخاص به. في غضون دقائق من تثبيت التحديث المزيف، استُنزفت ست من محافظ فاروق الرقمية.
لم يدرك فاروق إلا لاحقًا أن حساب لين قد تعرض للاختراق. ورُبطت هذه العملية لاحقًا بـ"لازاروس"، وهي جماعة قرصنة مدعومة من كوريا الشمالية.
كان الأمر غريبًا ومُخالفًا تمامًا. ولكن في أحلك اللحظات، تدخّل قراصنة ذوي القبعات البيضاء – غرباء تمامًا يعرضون المساعدة بينما كنت في أسوأ حالاتي. اتضح أنني تعرضت للاختراق من قِبل تهديد تابع لكوريا الشمالية يُعرف باسم "dangrouspassword"، كتب فاروق.
تُحاكي هذه الحادثة محاولة تصيد احتيالي حديثةاستهدفت كيني لي، المؤسس المشارك لشبكة مانتا ، والذي نجا بأعجوبة من مصير مماثل. روى لي أن المهاجمين انتحلوا هوية جهات اتصال معروفة خلال مكالمة زووم، واستخدموا بث فيديو مزيفًا، وأصروا على تنزيل تحديث زووم مشبوه. ونظرًا لاشتباهه في وجود مؤامرة، اقترح لي تغيير منصات التواصل، مما دفع المهاجمين إلى حظره وحذف الرسائل.
يقول محللون أمنيون إن ناقل الهجوم هذا – حيث يتظاهر المتسللون بأنهم جهات اتصال موثوقة، ويخلقون ثغرات تقنية مزيفة، ويدفعون برامج ضارة مقنعة في شكل تحديثات Zoom – هو السمة المميزة لعمليات Lazarus وقد تم استخدامه مرارًا وتكرارًا لسرقة ملايين الدولارات من العملات المشفرة.
وقد أبلغ قادة آخرون في صناعة التشفير، بما في ذلك مؤسسو Mon Protocol و Stably و Devdock AI ، عن محاولات تصيد مماثلة، مما يسلط الضوء على مدى انتشار هذه الهجمات واستهدافها.
قام نيك باك من التحالف الأمني بتفكيك هذه الخدعة في منشور بتاريخ 11 مارس.
