La divisione sicurezza di Microsoft, in a comunicato stampa ieri, 6 dicembre, è stato scoperto un attacco contro le startup di criptovalute. Hanno guadagnato la fiducia attraverso la chat di Telegram e hanno inviato un file Excel intitolato "OKX Binance and Huobi VIP fee comparative.xls", che conteneva codice dannoso che poteva accedere da remoto al sistema della vittima.
Il team di intelligence sulle minacce di sicurezza ha rintracciato l'autore della minaccia come DEV-0139. L'hacker è riuscito a infiltrarsi nei gruppi di chat su Telegram, l'app di messaggistica, mascherandosi da rappresentante di una società di investimento in criptovalute e fingendo di discutere le commissioni di trading con i clienti VIP dei principali exchange.
L'obiettivo era indurre i fondi di investimento crittografici a scaricare un file Excel. Questo file contiene informazioni accurate sulle strutture tariffarie dei principali scambi di criptovalute. D'altra parte, ha una macro dannosa che esegue un altro foglio Excel in background. Con questo, questo cattivo attore ottiene l'accesso remoto al sistema infetto della vittima.
Microsoft ha spiegato: "Il foglio principale nel file Excel è protetto con la password drago per incoraggiare il bersaglio ad abilitare le macro". Hanno aggiunto: “Il foglio non è protetto dopo l'installazione e l'esecuzione dell'altro file Excel memorizzato in Base64. Questo è probabilmente utilizzato per indurre l'utente ad abilitare le macro e non destare sospetti".
Secondo i rapporti, nel mese di agosto, il criptovaluta la campagna di malware minerario ha infettato più di 111,000 utenti.
L'intelligence sulle minacce collega DEV-0139 al gruppo di minacce nordcoreano Lazarus.
Insieme al file Excel macro dannoso, DEV-0139 ha fornito anche un payload come parte di questo trucco. Questo è un pacchetto MSI per un'app CryptoDashboardV2, che paga la stessa intrusione. Ciò ha fatto sì che diversi servizi di intelligence suggerissero che fossero anche dietro altri attacchi che utilizzavano la stessa tecnica per inviare payload personalizzati.
Prima della recente scoperta di DEV-0139, c'erano stati altri attacchi di phishing simili che alcuni team di intelligence sulle minacce suggerivano potessero essere il funzionamento di DEV-0139.
Anche la società di intelligence sulle minacce Volexity ha rilasciato le sue conclusioni su questo attacco durante il fine settimana, collegandolo al Lazzaro nordcoreano gruppo di minaccia.
Secondo Volexity, il nordcoreano hacker utilizzare simili fogli di calcolo dannosi per il confronto delle commissioni di scambio di criptovalute per eliminare il malware AppleJeus. Questo è ciò che hanno utilizzato nelle operazioni di dirottamento di criptovalute e furto di risorse digitali.
Volexity ha anche scoperto Lazarus utilizzando un clone del sito Web per la piattaforma di trading di criptovalute automatizzata HaasOnline. Distribuiscono un'app Bloxholder trojanizzata che distribuirebbe invece il malware AppleJeus in bundle all'interno dell'app QTBitcoinTrader.
Il gruppo Lazarus è un gruppo di minacce informatiche che opera in Corea del Nord. È attivo dal 2009 circa. È noto per attaccare obiettivi di alto profilo in tutto il mondo, comprese banche, organizzazioni dei media e agenzie governative.
Il gruppo è anche sospettato di essere responsabile dell'hack di Sony Pictures del 2014 e dell'attacco ransomware WannaCry del 2017.
Fonte: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/