La division sécurité de Microsoft, dans un communiqué de presse hier, le 6 décembre, a découvert une attaque ciblant les startups de crypto-monnaie. Ils ont gagné la confiance grâce au chat Telegram et ont envoyé un fichier Excel intitulé "OKX Binance et Huobi VIP fee comparison.xls", qui contenait un code malveillant pouvant accéder à distance au système de la victime.
L'équipe de renseignement sur les menaces de sécurité a suivi l'auteur de la menace sous le nom de DEV-0139. Le pirate a pu infiltrer des groupes de discussion sur Telegram, l'application de messagerie, se faisant passer pour des représentants d'une société d'investissement crypto et prétendant discuter des frais de négociation avec les clients VIP des principales bourses.
L'objectif était de tromper les fonds d'investissement crypto en téléchargeant un fichier Excel. Ce fichier contient des informations précises sur les structures de frais des principaux échanges de crypto-monnaie. D'autre part, il a une macro malveillante qui exécute une autre feuille Excel en arrière-plan. Avec cela, ce mauvais acteur obtient un accès à distance au système infecté de la victime.
Microsoft expliqué, "La feuille principale du fichier Excel est protégée par le dragon de mot de passe pour encourager la cible à activer les macros." Ils ont ajouté : « La feuille n'est alors plus protégée après l'installation et l'exécution de l'autre fichier Excel stocké dans Base64. Ceci est probablement utilisé pour inciter l'utilisateur à activer les macros et à ne pas éveiller les soupçons.
Selon des informations, en août, le crypto-monnaie campagne de minage de logiciels malveillants a infecté plus de 111,000 XNUMX utilisateurs.
Threat Intelligence connecte DEV-0139 au groupe de menaces nord-coréen Lazarus.
En plus du fichier Excel de macro malveillant, DEV-0139 a également livré une charge utile dans le cadre de cette supercherie. Il s'agit d'un package MSI pour une application CryptoDashboardV2, qui paie la même intrusion. Cela avait amené plusieurs renseignements à suggérer qu'ils étaient également à l'origine d'autres attaques utilisant la même technique pour pousser des charges utiles personnalisées.
Avant la découverte récente de DEV-0139, il y avait eu d'autres attaques de phishing similaires qui, selon certaines équipes de renseignement sur les menaces, pourraient être le fonctionnement de DEV-0139.
La société de renseignement sur les menaces Volexity a également publié ses conclusions sur cette attaque au cours du week-end, en la liant au Lazare nord-coréen groupe de menaces.
Selon Volexity, le nord-coréen les pirates utiliser des feuilles de calcul de comparaison des frais de crypto-échange malveillants similaires pour supprimer le logiciel malveillant AppleJeus. C'est ce qu'ils ont utilisé dans les opérations de détournement de crypto-monnaie et de vol d'actifs numériques.
Volexity a également découvert Lazarus en utilisant un clone de site Web pour la plateforme de trading crypto automatisée HaasOnline. Ils distribuent une application Bloxholder protégée par un cheval de Troie qui déploierait à la place le logiciel malveillant AppleJeus intégré à l'application QTBitcoinTrader.
Le groupe Lazarus est un groupe de cybermenaces opérant en Corée du Nord. Il est actif depuis 2009 environ. Il est connu pour attaquer des cibles de premier plan dans le monde entier, notamment des banques, des médias et des agences gouvernementales.
Le groupe est également soupçonné d'être responsable du piratage de Sony Pictures en 2014 et de l'attaque du rançongiciel WannaCry en 2017.
Source : https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/