Kuzey Koreli hacker grubu Lazarus, geçtiğimiz yıl birçok kripto borsayı hedef almıştı. Grup, bu saldırılardan birinde DragonEx borsasının çalışanlarını hedef alan sahte, fakat oldukça gerçekçi bir trading bot web sitesi oluşturmuş.

Siber suçlular, Mart 2019'da Singapur merkezli borsa DragonEx'ten yaklaşık 7 milyon dolar çaldı.

Grup, WFC Proof adlı sahte bir şirket için gerçekçi bir web sitesi ve sosyal medya hesapları oluşturarak şifre çalma saldırısı gerçekleştirdi. Sahte şirket, Worldbit-bot adlı bir trading bot oluşturarak bunu DragonEx çalışanlarına sundu.

Screenshot of the fake website

Sahte web sitesinin ekran görüntüsü. Kaynak: Chainalysis

Yazılım, ilk başta gerçek bir trading bot'u andırsa da, bulaştığı bilgisayarı ele geçiren kötü amaçlı bir yazılım içeriyordu. Yazılım, DragonEx'in sıcak cüzdanının özel anahtarlarını içeren bir bilgisayar tarafından kurulunca saldırganlar, borsadan para çalmayı başardı.

Parayı hızlıca çektiler

Hacker grubu, çalınan parayı 18 aya kadar bekletmeleri ve işler durulduktan sonra çekmeleriyle biliniyor.

Grup, 2019 yılında bu tutumu değiştirerek parayı mümkün olduğunca hızlı çekmeye başladı. Lazarus, bunu başarmak için CoinJoin özellikli cüzdanlar kullanarak kripto paraları karıştırmaya başladı.

Saldırganlar, paranın büyük çoğunluğunu saldırının gerçekleşmesinden itibaren 60 gün içerisinde çektiler.