Bezpečnostní divize společnosti Microsoft, v a tisková zpráva včera, 6. prosince, odhalil útok zaměřený na začínající kryptoměny. Získali důvěru prostřednictvím telegramového chatu a poslali excel s názvem „OKX Binance a Huobi VIP fee Compare.xls“, který obsahoval škodlivý kód, který by mohl vzdáleně přistupovat do systému oběti.
Tým bezpečnostních hrozeb sledoval aktéra hrozby jako DEV-0139. Hackerovi se podařilo infiltrovat chatovací skupiny na Telegramu, aplikaci pro zasílání zpráv, vydávat se za zástupce krypto investiční společnosti a předstírat, že diskutuje o poplatcích za obchodování s VIP klienty velkých burz.
Cílem bylo přimět krypto investiční fondy ke stažení souboru Excel. Tento soubor obsahuje přesné informace o struktuře poplatků hlavních kryptoměnových burz. Na druhou stranu má škodlivé makro, které na pozadí spouští další list Excelu. Díky tomu tento zlý herec získá vzdálený přístup k infikovanému systému oběti.
Microsoft vysvětlil: "Hlavní list v souboru aplikace Excel je chráněn drakem hesel, aby cíl povzbudil, aby povolil makra." Dodali: „Po instalaci a spuštění dalšího souboru Excel uloženého v Base64 je list nechráněný. To se pravděpodobně používá k oklamání uživatele, aby povolil makra a nevzbudil podezření."
Podle zpráv v srpnu kryptoměna Kampaň na těžbu malwaru infikovala více než 111,000 XNUMX uživatelů.
Rozvědka o hrozbách spojuje DEV-0139 se severokorejskou skupinou hrozeb Lazarus.
Spolu se škodlivým makrem Excel soubor DEV-0139 také dodal užitečné zatížení jako součást tohoto triku. Toto je balíček MSI pro aplikaci CryptoDashboardV2, který platí stejnou překážku. To přimělo několik zpravodajských informací k domněnce, že jsou také za dalšími útoky používajícími stejnou techniku k vytlačení vlastních užitečných zatížení.
Před nedávným objevem DEV-0139 došlo k dalším podobným phishingovým útokům, o kterých některé týmy zpravodajských informací o hrozbách tvrdily, že by mohly být výsledkem DEV-0139.
O tomto útoku o víkendu zveřejnila svá zjištění také společnost Volexity, která se zabývá hrozbami a spojuje jej s Severokorejský Lazarus skupina ohrožení.
Podle Volexity Severokorejec hackeři k odstranění malwaru AppleJeus použijte podobné škodlivé tabulky pro porovnání poplatků za krypto burzy. To je to, co použili při operacích únosů kryptoměn a krádeží digitálních aktiv.
Volexity také odhalila Lazarus pomocí klonu webových stránek pro automatizovanou platformu pro obchodování s kryptoměnami HaasOnline. Distribuují trojanizovanou aplikaci Bloxholder, která by místo toho nasadila malware AppleJeus v rámci aplikace QTBitcoinTrader.
Lazarus Group je skupina kybernetických hrozeb působící v Severní Koreji. Působí přibližně od roku 2009. Je notoricky známé tím, že útočí na významné cíle po celém světě, včetně bank, mediálních organizací a vládních agentur.
Skupina je také podezřelá, že je zodpovědná za hackování Sony Pictures v roce 2014 a ransomwarový útok WannaCry z roku 2017.
Zdroj: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/