Les clients VIP des échanges de crypto-monnaie, en particulier les sociétés d'investissement en crypto-monnaie, sont devenus la cible d'une attaque de phishing hautement sophistiquée, prévient Microsoft.
En un informe reciente (se abre en una nueva pestaña), Microsoft dijo que observó a un actor malicioso desconocido, etiquetado como DEV-0139, moviéndose en grupos de Telegram "usados para facilitar la comunicación entre clientes VIP e intercambios de criptomonedas en réseaux sociaux".
Après avoir identifié les victimes potentielles, le groupe approcherait ces utilisateurs, en supposant l'identité d'un pair, une autre société d'investissement en crypto-monnaie, et demanderait des commentaires sur la structure des frais utilisés par les différents échanges de crypto-monnaie. Un tel incident a été observé le 19 octobre 2022.
agresseurs conscients
Selon Microsoft, le groupe a une « connaissance plus large » de cette partie de l'industrie, ce qui suggère que la structure tarifaire qu'il a partagée avec les victimes est probablement exacte. La structure elle-même a été présentée dans un fichier Microsoft Excel, et c'est là que commence le véritable problème.
Le fichier, intitulé « Comparaison des frais VIP OKX Binance & Huobi.xls », est protégé par un « mot de passe dragon », ce qui signifie que la victime doit activer les macros pour afficher le contenu.
Habilitar macros también genera una gran cantidad de problemas: el archivo contiene una segunda hoja de cálculo incrustada, que descarga y analiza un archivo PNG, que extrae una DLL maliciosa, una puerta trasera codificada con XOR y un archivo ejecutable de Windows limpio que se usaría plus tard. . pour charger la DLL malveillante.
Après tout, les attaquants se retrouvent avec un accès à distance au terminal cible (s'ouvre dans un nouvel onglet).
Bien que Microsoft ne lie ce groupe à aucun acteur de menace connu et conserve la balise DEV-0139 (la balise DEV est généralement utilisée pour les acteurs de menace qui ne sont pas déjà liés à des groupes connus), un rapport distinct des experts en renseignement, l'acteur de menace Volexity affirme qu'il est , en fait, le groupe Lazarus, un acteur menaçant parrainé par l'État nord-coréen, a découvert BleepingComputer.
Lazarus a apparemment utilisé la feuille de calcul de comparaison des frais de crypto-monnaie dans le passé pour infecter ses cibles avec le malware AppleJeus.
Via : BleepingComputer (Ouvre dans un nouvel onglet)