El ex ejecutivo de Animoca, Mehdi Farooq, sufrió un robo digital de gran magnitud al descargarse una actualización falsa de Zoom en su ordenador. Este engaño está relacionado con un ataque de phishing llevado a cabo por el grupo de piratería Lazarus, de origen norcoreano.
El Sofisticado Engaño
Farooq, socio de inversión en Hypersphere y antiguo ejecutivo de Animoca Brands, compartió su sorprendente experiencia en una publicación reciente. Reveló que perdió una gran porción de sus ahorros de vida debido a un ataque de piratería en Zoom presuntamente perpetrado por el grupo de hackers Lazarus.
El engaño fue llevado a cabo de forma meticulosa y atrajo a Farooq a través de una referencia personal. Todo comenzó con un mensaje de Telegram enviado por Alex Lin, un conocido profesional. Lin solicitó una reunión, para la que Farooq compartió su enlace Calendly para programarla.
El Ataque Hace Su Movimiento
El día de la reunión, poco antes de que esta tuviera lugar, Lin volvió a ponerse en contacto para proponer un cambio. Solicitó cambiar la llamada a Zoom Business aduciendo razones de cumplimiento normativo, y comunicó que se uniría un socio limitado, Kent, quien también era conocido de Farooq.
La reunión en Zoom parecía auténtica. Ambos participantes tenían sus cámaras encendidas, pero no había audio. A través del chat de Zoom, alegaron problemas técnicos y pidieron a Farooq que actualizara su cliente Zoom. Pocos minutos después de instalar la actualización falsa, se produjo lo impensable: seis monederos de criptomonedas de Farooq fueron vaciados.
Consecuencias del Hackeo
Después de la enorme pérdida, Farooq comprendió que la cuenta de Lin había sido hackeada. La trama se asoció más tarde a Lazarus, un grupo de piratería respaldado por el Estado de Corea del Norte.
El hecho generó un gran impacto en Farooq, quien a pesar del golpe recibido se sorprendió por la solidaridad recibida. Aunque la situación fue completamente violatoria, hackers de sombrero blanco se ofrecieron a ayudar, incluso siendo completos extraños. Finalmente, descubrió que el ataque se debió a una amenaza afiliada a la RPDC conocida como dangrouspassword.
Se Repite la Historia
Este caso resulta ser un eco de un intento de phishing similar que tuvo como objetivo a Kenny Li, cofundador de Manta Network. Li pudo esquivar la situación de manera estrecha. En su caso, los atacantes se hicieron pasar por contactos conocidos durante una llamada Zoom, usaron vídeos falsos y presionaron constantemente para que descargara una actualización sospechosa de Zoom. Ante las irregularidades, Li propuso cambiar de plataforma, lo que provocó que los atacantes le bloquearan y borraran los mensajes.
Un Modus Operandi Conocido
Los analistas de seguridad indican que este tipo de ataque es una característica distintiva de las operaciones de Lazarus, donde los hackers se hacen pasar por contactos de confianza, fingen fallos técnicos y propagan malware disfrazado de actualizaciones de Zoom. Este método ha sido utilizado en repetidas ocasiones para robar millones en cripto.
Además, otros líderes de la industria de criptomonedas, incluyendo a los fundadores de Mon Protocol, Stably y Devdock AI, han informado sobre intentos de phishing similares, resaltando la extensión y el enfoque de estos ataques.
Desmontando el Engaño
Nick Bax, de la alianza de seguridad, desglosó meticulosamente este engaño en una publicación reciente. La táctica empleada por los hackers se trata de una combinación peligrosa de suplantación de identidad y manipulación psicológica.
