Klienci VIP giełd kryptowalut, zwłaszcza firmy zajmujące się inwestycjami w kryptowaluty, stali się celem wysoce wyrafinowanego ataku phishingowego, ostrzega Microsoft.
W niedawnym raporcie (otwiera się w nowej karcie) Microsoft poinformował, że zaobserwował nieznanego złośliwego aktora, oznaczonego jako DEV-0139, poruszającego się w grupach Telegram „używanych do ułatwiania komunikacji między klientami VIP i giełdami kryptowalut w sieciach społecznościowych”.
Po zidentyfikowaniu potencjalnych ofiar grupa zwracała się do tych użytkowników, przyjmując tożsamość partnera, innej firmy inwestycyjnej kryptowalut i zasięgała informacji zwrotnych na temat struktury opłat stosowanej przez różne giełdy kryptowalut. Jeden taki incydent zaobserwowano 19 października 2022 r.
świadomi napastnicy
Według Microsoftu grupa ma „szersze zrozumienie” tej części branży, co sugeruje, że struktura cen, którą udostępniła ofiarom, jest prawdopodobnie dokładna. Sama struktura została przedstawiona w pliku Microsoft Excel i tu zaczyna się prawdziwy kłopot.
Plik zatytułowany „OKX Binance & Huobi VIP fee comparision.xls” jest chroniony „hasłem smoka”, co oznacza, że ofiara musi włączyć makra, aby wyświetlić zawartość.
Włączenie makr również stwarza wiele problemów: plik zawiera drugi osadzony arkusz kalkulacyjny, który pobiera i analizuje plik PNG, który wyodrębnia szkodliwą bibliotekę DLL, backdoor zakodowany w XOR oraz czysty plik wykonywalny Windows, który będzie używany później. . aby załadować złośliwą bibliotekę DLL.
Ostatecznie atakujący otrzymują zdalny dostęp do docelowego punktu końcowego (otwiera się w nowej karcie).
Chociaż firma Microsoft nie łączy tej grupy z żadnymi znanymi cyberprzestępcami i zachowuje znacznik DEV-0139 (znacznik DEV jest zwykle używany w przypadku cyberprzestępców, którzy nie są jeszcze powiązani ze znanymi grupami), odrębny raport ekspertów ds. wywiadu, ugrupowanie Volexity, twierdzi, że jest , w rzeczywistości grupa Lazarus, cieszący się złą sławą ugrupowanie cyberprzestępcze sponsorowane przez państwo z Korei Północnej, odkryła BleepingComputer.
Lazarus najwyraźniej używał w przeszłości arkusza kalkulacyjnego do porównywania opłat za kryptowaluty, aby zainfekować swoje cele złośliwym oprogramowaniem AppleJeus.
Przez: BleepingComputer (Otwiera się w nowej karcie)