Kripto para yatırım şirketleri, potansiyel kurbanları bulmak için Telegram gruplarını kullanan, gelişmekte olan bir tehdit kümesinin hedefidir.
Microsoft’un Güvenlik Tehdit İstihbarat Merkezi (MSTIC), etkinliği şu adla izliyor: DEV-0139ve aynı saldırıları Kuzey Kore’nin Lazarus Grubu’na bağlayan Volexity’nin yakın tarihli bir raporuna dayanıyor.
Teknoloji devi, “DEV-0139, VIP istemciler ile kripto para takas platformları arasındaki iletişimi kolaylaştırmak için kullanılan Telegram gruplarına katıldı ve üyeler arasından hedefini belirledi” dedi. söz konusu.
Düşman daha sonra başka bir kripto para birimi yatırım şirketinin kimliğine büründü ve kurbanı farklı bir Telegram sohbet grubuna katılmaya davet etti.
belirtmekte fayda var ki, VIP programı dır-dir tasarlanmış ile ödül yüksek hacimli tüccarlar son 30 gün içindeki kripto faaliyetlerine göre özel ticaret ücreti teşvikleri ve indirimleri ile.
Bu saldırı zinciri, Volexity’nin Ekim 2022 kampanyasına ilişkin analiziyle oldukça örtüşüyor; buradaki tehdit aktörü, MSI yükleyici dosyalarını kullanmaktan silahlı bir Microsoft Excel belgesi varsayılan kripto para madeni para oranlarını gösteriyor.
Microsoft, belgeyi kampanyanın başarı şansını artırmak için muhtemelen doğru veriler içerdiğini belirterek DEV-0139’un kripto para birimi sektörünün iç işleyişi konusunda çok bilgili olduğunu öne sürdü.
Kötü amaçlı yazılım içeren Excel dosyası, kendi adına, OpenDrive’da barındırılan bir PNG resim dosyasını indiren bir makro içeren ikinci bir Excel çalışma sayfasını gizlice bırakmak ve yürütmek için kullanılan kötü amaçlı bir makroyu yürütmekle görevlidir.
Bu görüntü dosyası, her biri bir sonraki aşama yükünü başlatmak için kullanılan ve sonuçta tehdit aktörünün virüslü sisteme uzaktan erişmesine izin veren bir arka kapının yolunu açan üç yürütülebilir dosya içerir.
Ayrıca, ücret yapısı elektronik tablosu, hedefi makroları etkinleştirmeye ikna etmek ve böylece kötü niyetli eylemleri başlatmak amacıyla parola korumalıdır. Dosyanın meta veri analizi, dosyanın 14 Ekim 2022’de Wolf adlı bir kullanıcı tarafından oluşturulduğunu gösteriyor.
DEV-0139 ayrıca, aynı implantı dağıtmak için kötü amaçlı bir Excel belgesinin yerine “CryptoDashboardV2” adlı sahte bir uygulama için bir MSI paketinin teslim edildiği alternatif bir saldırı dizisine de bağlanmıştır.
Arka kapı, temel olarak, hedeflenen sistemden bilgi toplayarak ve ek komutlar almak için bir komut ve kontrol (C2) sunucusuna bağlanarak ana bilgisayara uzaktan erişim sağlar.
Microsoft, “Kripto para piyasası, tehdit aktörleri için bir ilgi alanı olmaya devam ediyor” dedi. “Hedeflenen kullanıcılar, başarı şansını artırmak için güvenilir kanallar aracılığıyla belirlenir.”
Son yıllarda, Telegram yalnızca tanık olmakla kalmadı yaygın kabul kripto para endüstrisinde, ancak aynı zamanda sıfırıncı gün güvenlik açıklarını tartışmak, çalıntı veriler sunmak ve hizmetlerini popüler mesajlaşma platformu aracılığıyla pazarlamak isteyen tehdit aktörleri tarafından da tercih edildi.
Positive Technologies, “Kullanıcıların forumların sunduğu anonimliğe olan güvenini kaybetmesiyle birlikte, yasa dışı pazar yerleri giderek artan bir şekilde Telegram’a yöneliyor.” ifşa toplamda bir milyondan fazla abonesi olan 323 halka açık Telegram kanalı ve grubu üzerinde yapılan yeni bir çalışmada.
“Benzersiz siber saldırıların sayısı sürekli artıyor ve siber suç hizmetleri pazarı genişliyor ve sıradan sosyal medya ve mesajlaşma uygulamalarına doğru ilerliyor, böylece siber suçluların giriş eşiğini önemli ölçüde düşürüyor.”
