Отделът за сигурност на Microsoft, в a съобщение за печата вчера, 6 декември, разкри атака, насочена към стартиращи компании за криптовалута. Те спечелиха доверие чрез чата на Telegram и изпратиха Excel, озаглавен „OKX Binance и Huobi VIP fee сравнение.xls“, който съдържа злонамерен код, който може да получи отдалечен достъп до системата на жертвата.
Екипът за разузнаване на заплахи за сигурността е проследил заплахата като DEV-0139. Хакерът успя да проникне в чат групи в Telegram, приложението за съобщения, маскирайки се като представители на крипто инвестиционна компания и преструвайки се, че обсъжда таксите за търговия с VIP клиенти на големи борси.
Целта беше да се подмамят крипто инвестиционните фондове да изтеглят Excel файл. Този файл съдържа точна информация за структурите на таксите на основните борси за криптовалута. От друга страна, той има злонамерен макрос, който изпълнява друг лист на Excel във фонов режим. С това този лош актьор получава отдалечен достъп до заразената система на жертвата.
Microsoft обясни: „Основният лист във файла на Excel е защитен с парола dragon, за да насърчи целта да активира макросите.“ Те добавиха: „След това листът е незащитен след инсталиране и стартиране на другия Excel файл, съхраняван в Base64. Това вероятно се използва, за да подведе потребителя да активира макроси и да не повдига подозрение.
Според докладите, през август, cryptocurrency кампания за копаене на зловреден софтуер зарази повече от 111,000 XNUMX потребители.
Разузнаването за заплахи свързва DEV-0139 със севернокорейската група за заплахи Lazarus.
Заедно със злонамерения макрос Excel файл, DEV-0139 също достави полезен товар като част от този трик. Това е MSI пакет за приложение CryptoDashboardV2, което изплаща същата натрапчивост. Това накара няколко разузнавателни данни да предполагат, че те също стоят зад други атаки, използващи същата техника за прокарване на персонализирани полезни товари.
Преди неотдавнашното откриване на DEV-0139 е имало други подобни фишинг атаки, за които някои екипи за разузнаване на заплахи предполагат, че може да са работата на DEV-0139.
Компанията за разузнаване на заплахи Volexity също публикува своите констатации за тази атака през уикенда, свързвайки я с Севернокорейски Лазар заплашителна група.
Според Volexity севернокорейският хакери използвайте подобни електронни таблици за сравнение на такси за злонамерен криптообмен, за да премахнете злонамерения софтуер AppleJeus. Това е, което те са използвали при отвличане на криптовалута и операции за кражба на цифрови активи.
Volexity също разкри Lazarus, използвайки клонинг на уебсайт за автоматизираната платформа за крипто търговия HaasOnline. Те разпространяват троянизирано приложение Bloxholder, което вместо това ще внедри зловреден софтуер AppleJeus, включен в приложението QTBitcoinTrader.
Lazarus Group е група за киберзаплахи, действаща в Северна Корея. Той е активен от около 2009 г. Той е известен с атакуването на високопоставени цели по целия свят, включително банки, медийни организации и правителствени агенции.
Групата също е заподозряна, че е отговорна за хакването на Sony Pictures през 2014 г. и атаката с рансъмуер WannaCry от 2017 г.
Източник: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/