Il crimine di criptovaluta ha raggiunto il suo massimo storico nel 2021

I clienti VIP degli scambi di criptovaluta, in particolare le società di investimento di criptovaluta, sono diventati l'obiettivo di un attacco di phishing altamente sofisticato, avverte Microsoft.

In un recente rapporto (si apre in una nuova scheda), Microsoft ha affermato di aver osservato un malintenzionato sconosciuto, etichettato DEV-0139, muoversi nei gruppi di Telegram "utilizzati per facilitare la comunicazione tra clienti VIP e scambi di criptovalute sui social network".

Dopo aver identificato le potenziali vittime, il gruppo si avvicinava a quegli utenti, assumendo l'identità di un peer, un'altra società di investimento in criptovaluta, e chiedeva un feedback sulla struttura tariffaria utilizzata dai vari scambi di criptovaluta. Uno di questi incidenti è stato osservato il 19 ottobre 2022.

aggressori consapevoli

Secondo Microsoft, il gruppo ha una "comprensione più ampia" di questa parte del settore, suggerendo che la struttura dei prezzi che ha condiviso con le vittime è probabilmente accurata. La struttura stessa è stata presentata in un file Microsoft Excel, ed è qui che iniziano i veri problemi.

Il file, intitolato "OKX Binance & Huobi VIP fee comparision.xls", è protetto con una "password dragon", il che significa che la vittima deve abilitare le macro per visualizzare il contenuto.

L'abilitazione delle macro crea anche una serie di problemi: il file contiene un secondo foglio di calcolo incorporato, che scarica e analizza un file PNG, che estrae una DLL dannosa, una backdoor con codifica XOR e un file eseguibile Windows pulito che verrebbe utilizzato in seguito. . per caricare la DLL dannosa.

Dopotutto, gli aggressori ottengono l'accesso remoto all'endpoint di destinazione (si apre in una nuova scheda).

Sebbene Microsoft non colleghi questo gruppo a nessun attore di minacce noto e conservi il tag DEV-0139 (il tag DEV viene in genere utilizzato per gli attori delle minacce non già collegati a gruppi noti), un rapporto separato dell'attore di minacce di esperti di intelligence Volexity afferma che lo è , infatti, il Lazarus Group, un famigerato attore di minacce sponsorizzato dallo stato nordcoreano, ha scoperto BleepingComputer.

Lazarus ha apparentemente utilizzato il foglio di calcolo per il confronto delle commissioni di criptovaluta in passato per infettare i suoi obiettivi con il malware AppleJeus.

Via: BleepingComputer (si apre in una nuova scheda)

Condividi questo