Підрозділ безпеки Microsoft, в a прес-реліз вчора, 6 грудня, було виявлено атаку, спрямовану на криптовалютні стартапи. Вони завоювали довіру через чат Telegram і надіслали Excel під назвою «OKX Binance and Huobi VIP fee comparation.xls», який містив шкідливий код, який міг віддалено отримати доступ до системи жертви.
Команда аналізу загроз безпеки відстежила загрозу як DEV-0139. Хакер зміг проникнути в групи чатів у додатку для обміну повідомленнями Telegram, видаючи себе за представників криптоінвестиційної компанії та вдаючи, що обговорює комісії за торгівлю з VIP-клієнтами великих бірж.
Метою було змусити криптовалютні інвестиційні фонди завантажити файл Excel. Цей файл містить точну інформацію про структуру комісій основних бірж криптовалют. З іншого боку, він має шкідливий макрос, який запускає інший аркуш Excel у фоновому режимі. Завдяки цьому цей поганий актор отримує віддалений доступ до зараженої системи жертви.
Microsoft пояснив: «Основний аркуш у файлі Excel захищено паролем dragon, щоб спонукати ціль увімкнути макроси». Вони додали: «Після встановлення та запуску іншого файлу Excel, який зберігається в Base64, аркуш стає незахищеним. Ймовірно, це використовується, щоб обманом змусити користувача ввімкнути макроси і не викликати підозри».
Як повідомляється, у серпні в криптовалюта Майнінг шкідливих програм заразив понад 111,000 XNUMX користувачів.
Розвідка про загрози пов’язує DEV-0139 із північнокорейською групою загроз Lazarus.
Разом зі шкідливим файлом макросу Excel, DEV-0139 також доставив корисне навантаження як частину цього обману. Це пакет MSI для додатка CryptoDashboardV2, який виплачує ті самі труднощі. Це змусило кілька розвідувальних даних припустити, що вони також стоять за іншими атаками, використовуючи ту саму техніку для передачі власних корисних навантажень.
До нещодавнього виявлення DEV-0139 були й інші подібні фішингові атаки, які, на думку деяких груп аналізу загроз, могли бути спричинені DEV-0139.
Компанія Volexity з аналізу загроз також оприлюднила свої висновки щодо цієї атаки на вихідних, пов’язуючи її з Північнокорейський Лазар група загрози.
За Volexity, північнокорейський хакери використовуйте схожі таблиці порівняння комісій криптовалютного обміну, щоб видалити зловмисне програмне забезпечення AppleJeus. Це те, що вони використовували для викрадення криптовалюти та операцій з крадіжки цифрових активів.
Volexity також виявила Lazarus за допомогою клону веб-сайту для автоматизованої криптотрейдингової платформи HaasOnline. Вони розповсюджують троянську програму Bloxholder, яка натомість розгортає зловмисне програмне забезпечення AppleJeus, включене в програму QTBitcoinTrader.
Lazarus Group — це група кіберзагроз, яка діє в Північній Кореї. Він діє приблизно з 2009 року. Він сумно відомий атаками на високопоставлені цілі в усьому світі, включаючи банки, ЗМІ та державні установи.
Групу також підозрюють у відповідальності за злом Sony Pictures у 2014 році та атаку програм-вимагачів WannaCry у 2017 році.
Джерело: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/