Os cibercriminosos enganaram um funcionário através de uma oferta de emprego falsa que resultou no roubo de 173 mil Ethereum e 25,5 milhões de USD Coin da rede blockchain usada pelo Axie Infinity.
Em março de 2022, a Ronin Network, a rede blockchain usada pelo Axie Infinity, sofreu um incidente que ficou conhecido como o segundo maior ataque ao ecossistema de criptomoedas até o momento. Na época, o ataque visava o sidechain Ronin e permitiu que os cibercriminosos roubassem 173.600 Ethereum (ETH) e 25,5 milhões no stablecoin USDC. Segundo um relatório recentemente publicado pelo site The Block, que teve acesso às fontes envolvidas no incidente, um engenheiro da desenvolvedora do Axie Infinity, a Sky Mavis, foi enganado com uma oferta de emprego falsa enviado por uma empresa inexistente; o fato fez com que os atacantes ganhassem uma posição na rede.
Aparentemente, o engenheiro sênior da desenvolvedora foi contatado via LinkedIn por supostos profissionais de RH de uma empresa e convidado a se candidatar a uma oferta de trabalho que contava com uma remuneração bastante interessante. Após várias rodadas de entrevistas, os atacantes enviaram a oferta formal na forma de um arquivo PDF que acabou sendo baixado e aberto pelo engenheiro. A abertura do documento ocasionou o comprometimento do computador do engenheiro através de um malware e permitiu que os cibercriminosos utilizassem este acesso para invadir os sistemas da Ronin Network.
Em 27 de abril de 2022, quase quatro semanas após o ataque ocorrido contra a Ronin, a Sky Mavis emitiu um comunicado no qual deu detalhes sobre o que aconteceu e confirmou que, uma vez dentro da rede, os atacantes utilizaram este acesso para penetrar na infraestrutura de TI da Sky Mavis e obter acesso aos nós de validação. Como explicamos em um post publicado anteriormente, os nós de validação são usados para validar depósitos e saques. Com o comprometimento de mais da metade desses nós de validação, os criminosos conseguiram assinar transações e extrair dinheiro.
Além disso, a Sky Mavis revelou que seus funcionários estão constantemente sob ataques de phishing direcionados através de diversas plataformas.
Em abril de 2022, o FBI divulgou um comunicado alegando que o grupo Lazarus é o responsável pelo ataque ocorrido contra a Ronin Network e pelo roubo de mais de US$ 600 milhões. Vale mencionar que, de acordo com a equipe de pesquisa da ESET, o grupo Lazarus conta com muita experiência na propagação de malwares em ofertas de trabalho falsas tanto para Windows quanto para MacOS.
Em 2020, a equipe de pesquisa da ESET revelou detalhes de uma campanha de espionagem criada pelo grupo Lazarus que visava empresas militares e aeroespaciais na Europa e no Oriente Médio, na qual utilizaram o LinkedIn para enganar funcionários (confira exemplos: 1 e 2) das empresas previamente escolhidas, fazendo-se passar por profissionais de RH de empresas conhecidas no setor.
Discussão