Microsoft предупреждает, что VIP-клиенты криптовалютных бирж, особенно криптовалютные инвестиционные компании, стали объектом изощренной фишинговой атаки.
В недавнем отчете (открывается в новой вкладке) Microsoft сообщила, что обнаружила неизвестного злоумышленника с маркировкой DEV-0139, перемещающегося в группах Telegram, «используемых для облегчения общения между VIP-клиентами и обменом криптовалютой в социальных сетях».
После выявления потенциальных жертв группа обратилась к этим пользователям, предполагая, что они являются коллегами, другой инвестиционной фирмой по криптовалюте, и запросила отзывы о структуре комиссий, используемой различными биржами криптовалюты. Один такой инцидент наблюдался 19 октября 2022 года.
сознательные злоумышленники
По словам Microsoft, группа имеет «более широкое понимание» этой части отрасли, предполагая, что структура ценообразования, которую она поделила с жертвами, вероятно, точна. Сама структура была представлена в файле Microsoft Excel, и тут-то и начинаются настоящие проблемы.
Файл под названием «Сравнение комиссий OKX Binance и Huobi VIP.xls» защищен «паролем-драконом», что означает, что жертва должна включить макросы для просмотра контента.
Включение макросов также создает множество проблем: файл содержит вторую встроенную электронную таблицу, которая загружает и анализирует файл PNG, который извлекает вредоносную DLL, бэкдор с XOR-кодированием и чистый исполняемый файл Windows, который будет использоваться позже. . для загрузки вредоносной DLL.
В конце концов, злоумышленники получают удаленный доступ к целевой конечной точке (откроется в новой вкладке).
Хотя Microsoft не связывает эту группу с какими-либо известными субъектами угроз и сохраняет тег DEV-0139 (тег DEV обычно используется для субъектов угроз, еще не связанных с известными группами), в отдельном отчете экспертов по угрозам Volexity утверждается, что это Фактически, Lazarus Group, печально известная северокорейская организация, занимающаяся угрозами, спонсируемая государством, обнаружила BleepingComputer.
В прошлом Lazarus, по-видимому, использовал таблицу сравнения комиссий за криптовалюту для заражения своих целей вредоносным ПО AppleJeus.
Через: BleepingComputer (открывается в новой вкладке)