Одделот за безбедност на Мајкрософт, во а печатот вчера, 6 декември, откри напад насочен кон стартапи за криптовалути. Тие добија доверба преку разговорот на Телеграм и испратија Excel со наслов „OKX Binance and Huobi VIP fee krahasim.xls“, кој содржеше злонамерен код што може далечински да пристапи до системот на жртвата.
Разузнавачкиот тим за безбедносна закана го следеше актерот на закана како DEV-0139. Хакерот можеше да се инфилтрира во групи за разговор на Telegram, апликацијата за пораки, маскирајќи се како претставници на крипто-инвестициска компанија и преправајќи се дека разговара за таксите за тргување со ВИП клиенти на големите берзи.
Целта беше да се измамат крипто-инвестициските фондови за да преземат датотека Excel. Оваа датотека содржи точни информации за структурите на надоместоците на главните размени за криптовалути. Од друга страна, има злонамерно макро кое води друг лист на Excel во позадина. Со ова, овој лош актер добива далечински пристап до инфицираниот систем на жртвата.
Мајкрософт објасни: „Главниот лист во датотеката Excel е заштитен со змејот со лозинка за да се поттикне целта да ги овозможи макроата“. Тие додадоа: „Листот потоа е незаштитен по инсталирањето и извршувањето на другата датотека на Excel зачувана во Base64. Ова најверојатно се користи за да го измами корисникот да овозможи макроа и да не предизвика сомневање“.
Според извештаите, во август, на Cryptocurrency Кампањата за малициозен софтвер за рударство зарази повеќе од 111,000 корисници.
Разузнавањето за закани го поврзува DEV-0139 со севернокорејската закана за Лазарус група.
Заедно со злонамерната макро датотека Excel, DEV-0139 испорача и товар како дел од оваа измама. Ова е MSI пакет за апликација CryptoDashboardV2, која го плаќа истото опструкција. Ова натера неколку разузнавачки информации да сугерираат дека тие стојат и зад други напади користејќи ја истата техника за туркање на сопствени товари.
Пред неодамнешното откритие на DEV-0139, имаше и други слични напади на фишинг за кои некои разузнавачки тимови за закана сугерираа дека може да функционираат на DEV-0139.
Разузнавачката компанија за закани Volexity, исто така, ги објави своите наоди за овој напад во текот на викендот, поврзувајќи го со Севернокорејскиот Лазар група за закана.
Според Volexity, севернокорејскиот хакери користете слични малициозни табели за споредба на надоместоци за крипто-размена за да го исфрлите малициозниот софтвер AppleJeus. Тоа е она што тие го користеа во операциите за киднапирање криптовалути и кражба на дигитални средства.
Volexity, исто така, го откри Лазарус користејќи клон на веб-страница за автоматизираната платформа за тргување со крипто HaasOnline. Тие дистрибуираат тројанизирана апликација Bloxholder која наместо тоа ќе распореди малициозен софтвер AppleJeus во комплет во апликацијата QTBitcoinTrader.
Групата Лазарус е група за сајбер закана која работи во Северна Кореја. Активен е од околу 2009 година. Познат е по тоа што напаѓа цели од висок профил ширум светот, вклучувајќи банки, медиумски организации и владини агенции.
Групата, исто така, се сомнева дека е одговорна за хакирањето на Sony Pictures во 2014 година и нападот на откупниот софтвер WannaCry од 2017 година.
Извор: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/