Sikkerhetsavdelingen til Microsoft, i en pressemelding i går, 6. desember, avdekket et angrep rettet mot oppstart av kryptovaluta. De fikk tillit gjennom Telegram-chat og sendte en Excel med tittelen «OKX Binance and Huobi VIP fee comparison.xls», som inneholdt ondsinnet kode som kunne eksternt få tilgang til offerets system.
Sikkerhetstrusseletterretningsteamet har sporet trusselaktøren som DEV-0139. Hackeren var i stand til å infiltrere chattegrupper på Telegram, meldingsappen, forkle seg som representanter for et kryptoinvesteringsselskap og late som han diskuterte handelsgebyrer med VIP-kunder på store børser.
Målet var å lure kryptoinvesteringsfond til å laste ned en Excel-fil. Denne filen inneholder nøyaktig informasjon om gebyrstrukturene til store kryptovalutabørser. På den annen side har den en ondsinnet makro som kjører et annet Excel-ark i bakgrunnen. Med dette får denne dårlige skuespilleren ekstern tilgang til offerets infiserte system.
Microsoft forklart, "Hovedarket i Excel-filen er beskyttet med passorddragen for å oppmuntre målet til å aktivere makroene." De la til: "Arket er da ubeskyttet etter installasjon og kjøring av den andre Excel-filen som er lagret i Base64. Dette brukes sannsynligvis for å lure brukeren til å aktivere makroer og ikke vekke mistanke."
Ifølge rapporter, i august cryptocurrency Mining malware-kampanje infiserte mer enn 111,000 XNUMX brukere.
Trusseletterretning kobler DEV-0139 til den nordkoreanske Lazarus-trusselgruppen.
Sammen med den ondsinnede makro Excel-filen, leverte DEV-0139 også en nyttelast som en del av dette trikset. Dette er en MSI-pakke for en CryptoDashboardV2-app, som betaler ut samme obtrusion. Dette hadde fått flere etterretninger til å antyde at de også står bak andre angrep som bruker samme teknikk for å presse tilpassede nyttelaster.
Før den nylige oppdagelsen av DEV-0139, hadde det vært andre lignende phishing-angrep som noen trusseletterretningsteam antydet kunne virket til DEV-0139.
Trusseletterretningsselskapet Volexity offentliggjorde også sine funn om dette angrepet i helgen, og koblet det til Nordkoreanske Lasarus trusselgruppe.
Ifølge Volexity, nordkoreaneren hackere bruk lignende ondsinnede regneark for sammenligning av krypto-utvekslingsgebyrer for å slippe AppleJeus malware. Dette er hva de har brukt i kryptovalutakapring og digitale eiendelertyverioperasjoner.
Volexity har også avdekket Lazarus ved å bruke en nettsideklone for HaasOnline automatiserte kryptohandelsplattform. De distribuerer en trojanisert Bloxholder-app som i stedet vil distribuere AppleJeus malware samlet i QTBitcoinTrader-appen.
Lazarus Group er en cybertrusselgruppe som opererer i Nord-Korea. Den har vært aktiv siden rundt 2009. Den er beryktet for å angripe høyprofilerte mål over hele verden, inkludert banker, medieorganisasjoner og offentlige etater.
Gruppen er også mistenkt for å være ansvarlig for 2014 Sony Pictures-hacket og WannaCry ransomware-angrepet i 2017.
Kilde: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/