Bezpečnostná divízia Microsoftu, v a tlačová správa včera, 6. decembra, odhalil útok zameraný na startupy v oblasti kryptomien. Získali dôveru prostredníctvom telegramového chatu a odoslali excel s názvom „OKX Binance a Huobi VIP fee Compare.xls“, ktorý obsahoval škodlivý kód, ktorý mohol na diaľku pristupovať do systému obete.
Tím spravodajských informácií o bezpečnostných hrozbách sledoval aktéra hrozby ako DEV-0139. Hackerovi sa podarilo infiltrovať chatovacie skupiny v aplikácii na odosielanie správ Telegram, maskovať sa ako zástupcovia kryptoinvestičnej spoločnosti a predstierať, že diskutuje o poplatkoch za obchodovanie s VIP klientmi veľkých búrz.
Cieľom bolo oklamať krypto investičné fondy na stiahnutie súboru Excel. Tento súbor obsahuje presné informácie o štruktúre poplatkov veľkých búrz s kryptomenami. Na druhej strane má škodlivé makro, ktoré na pozadí spúšťa ďalší hárok Excelu. Vďaka tomu tento zlý herec získa vzdialený prístup k infikovanému systému obete.
Microsoft vysvetlil: „Hlavný hárok v súbore Excel je chránený drakom s heslom, aby povzbudil cieľ, aby povolil makrá.“ Dodali: „Hárok je potom nechránený po inštalácii a spustení iného súboru Excel uloženého v Base64. Pravdepodobne sa to používa na oklamanie používateľa, aby povolil makrá a nevzbudilo podozrenie.“
Podľa správ v auguste kryptomena Kampaň na ťažobný malvér infikovala viac ako 111,000 XNUMX používateľov.
Spravodajstvo o hrozbách spája DEV-0139 so severokórejskou skupinou hrozieb Lazarus.
Spolu so škodlivým makrom Excel súborom, DEV-0139 tiež dodal užitočné zaťaženie ako súčasť tohto triku. Toto je balík MSI pre aplikáciu CryptoDashboardV2, ktorý platí rovnaké obťažovanie. To prinútilo niekoľko spravodajských informácií naznačovať, že sú aj za inými útokmi, ktoré používajú rovnakú techniku na presunutie vlastného užitočného zaťaženia.
Pred nedávnym objavom DEV-0139 sa vyskytli ďalšie podobné phishingové útoky, o ktorých niektoré tímy spravodajských informácií o hrozbách tvrdili, že by mohli byť výsledkom DEV-0139.
Svoje zistenia o tomto útoku cez víkend zverejnila aj spoločnosť Volexity pre spravodajstvo o hrozbách, pričom ho spojila s Severokórejský Lazarus skupina ohrozenia.
Podľa Volexity Severokórejčan hackeri použite podobné škodlivé tabuľky na porovnanie poplatkov za kryptoburzy na odstránenie škodlivého softvéru AppleJeus. To je to, čo použili pri únosoch kryptomien a krádežiach digitálnych aktív.
Volexity tiež odhalila Lazarus pomocou klonu webovej stránky pre automatizovanú platformu obchodovania s kryptomenami HaasOnline. Distribuujú trojanizovanú aplikáciu Bloxholder, ktorá by namiesto toho nasadila malvér AppleJeus v rámci aplikácie QTBitcoinTrader.
Lazarus Group je skupina kybernetických hrozieb pôsobiaca v Severnej Kórei. Je aktívna približne od roku 2009. Je známa tým, že útočí na významné ciele na celom svete, vrátane bánk, mediálnych organizácií a vládnych agentúr.
Skupina je tiež podozrivá, že je zodpovedná za hacknutie Sony Pictures v roku 2014 a ransomvérový útok WannaCry z roku 2017.
Zdroj: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/