Los ataques masivos de phishing con NFT son obra de bandas cibernéticas norcoreanas de amenazas persistentes avanzadas (APT). Es más, una de las direcciones de los hackers compró 1.055 NFT y luego los vendió por más de 300 ETH, o 366.000 dólares, de beneficio.
Realizar acuñaciones fraudulentas utilizando sitios web falsos relacionados con NFT fue una de las técnicas utilizadas en este intento de phishing, según una investigación de la empresa de seguridad Blockchain SlowMist.
Con el fin de engañar a los consumidores, los hackers construyeron sitios web falsos que se hacían pasar por otras plataformas de NFT, incluidas Rarible, X2Y2 y OpenSea. Iniciativas relacionadas con la Copa del Mundo es lo que simula ser el sitio de phishing más reciente de los hackers, que ellos mismos crearon y mantienen.
Para dirigirse a los usuarios en su ataque de phishing, la APT norcoreana empleó más de 500 nombres de dominio. Estos nombres de dominio llevan registrados como mínimo siete meses.
El principal nombre de dominio de la APT para monitorizar las peticiones de los usuarios es «thedoodles.site», que se utilizó en gran medida para capturar datos de los usuarios en las primeras fases de sus operaciones.
El certificado HTTPS se registró para este nombre de dominio siete meses antes, lo que indica que la organización de piratas informáticos ya había empezado a centrarse en los usuarios de NFT en ese momento.
SlowMist detectó archivos txt que contenían estadísticas sobre las víctimas y un gran número de scripts de ataque utilizados por los hackers norcoreanos en algunas direcciones de host. Estos archivos incluían detalles sobre el historial de acceso de la víctima, el uso de la cartera de complementos y las autorizaciones.
Según SlowMist, se ha descubierto que varios sitios de phishing de NFT comparten la misma dirección IP de host: 372 de ellos comparten una única IP y otros 320 utilizan una diferente.
Los hackers emplearon una serie de tokens en sus ataques de phishing, como WETH, USDC, DAI, UNI, etc. Los hackers también se esfuerzan por obligar a sus víctimas a firmar documentos de puertos marítimos y permisos y a realizar otros pasos afirmativos.
Según la evaluación de SlowMist, los hackers de Corea del Norte y Europa del Este parecen estar trabajando juntos para atacar a los usuarios de NFT con ataques de phishing. Usuarios, ¡estén siempre atentos a los esquemas de phishing y nunca hagan clic en ningún enlace sin la información requerida!