Microsoft, kripto para borsalarının VIP müşterilerinin, özellikle kripto para yatırım şirketlerinin son derece karmaşık bir kimlik avı saldırısının hedefi haline geldiği konusunda uyarıyor.
İçinde son rapor (yeni sekmede açılır)Microsoft, DEV-0139 olarak etiketlenmiş bilinmeyen bir tehdit aktörünün “VIP istemciler ve kripto para birimi değişim platformları arasındaki iletişimi kolaylaştırmak için kullanılan” Telegram gruplarına girdiğini gözlemlediğini söyledi.
Potansiyel kurbanları belirledikten sonra, grup bu kullanıcılara yaklaşarak bir akran – başka bir kripto para birimi yatırım şirketi – kimliğini varsayar ve farklı kripto para birimi değişim platformlarının kullandığı ücret yapısı hakkında geri bildirim ister. Böyle bir olay 19 Ekim 2022’de gözlemlendi.
Saldırganlar bilir
Microsoft’a göre grup, sektörün bu bölümü hakkında “daha geniş bir bilgiye” sahip ve bu da kurbanlarla paylaştığı ücret yapısının muhtemelen doğru olduğunu gösteriyor. Yapının kendisi bir Microsoft Excel dosyasında sunuldu ve asıl sorun o zaman başlıyor.
“OKX Binance & Huobi VIP ücret karşılaştırması.xls” adlı dosya, bir “şifre ejderhası” ile korunmaktadır; bu, kurbanın içeriği görüntülemek için makroları etkinleştirmesi gerektiği anlamına gelir.
Makroların etkinleştirilmesi aynı zamanda bir sürü soruna da yol açar: Dosyanın, bir PNG dosyasını indiren ve ayrıştıran, kötü amaçlı bir DLL’yi, XOR kodlu bir arka kapıyı ve daha sonra kullanılacak temiz bir Windows yürütülebilir dosyasını ayıklayan ikinci bir katıştırılmış elektronik tablosu vardır. kötü amaçlı DLL dosyasını yandan yüklemek için.
Her şey söylenip yapıldıktan sonra, saldırganlar hedefin uç noktasına uzaktan erişim sağlar. (yeni sekmede açılır).
Microsoft bu grubu bilinen herhangi bir tehdit aktörüyle ilişkilendirmez ve DEV-0139 etiketini tutarken (DEV etiketi genellikle henüz bilinen herhangi bir grupla bağlantılı olmayan tehdit aktörleri için kullanılır), tehdit istihbaratı uzmanlarından ayrı bir rapor Volexity bunun şu olduğunu iddia ediyor: aslında, BleepingComputer, Kuzey Kore devlet destekli kötü şöhretli bir tehdit aktörü olan Lazarus Group’u buldu.
Görünüşe göre Lazarus, hedeflerini AppleJeus kötü amaçlı yazılımıyla enfekte etmek için geçmişte kripto para birimi ücret karşılaştırma tablosunu kullandı.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)