El crimen de criptomonedas alcanzo su maximo historico en 2021

Los clientes VIP de los intercambios de criptomonedas, especialmente las empresas de inversión en criptomonedas, se han convertido en el objetivo de un ataque de phishing altamente sofisticado, advierte Microsoft.

En un informe reciente (se abre en una nueva pestaña), Microsoft dijo que observó a un actor malicioso desconocido, etiquetado como DEV-0139, moviéndose en grupos de Telegram «usados ​​para facilitar la comunicación entre clientes VIP e intercambios de criptomonedas en las redes sociales».

Después de identificar a las posibles víctimas, el grupo se acercaría a esos usuarios, asumiendo la identidad de un par, otra empresa de inversión en criptomonedas, y buscaría comentarios sobre la estructura de tarifas que utilizan las diversas plataformas de intercambio de criptomonedas. Uno de esos incidentes se observó el 19 de octubre de 2022.

Los atacantes conscientes

Según Microsoft, el grupo tiene un «conocimiento más amplio» de esta parte de la industria, lo que sugiere que la estructura de precios que compartió con las víctimas probablemente sea precisa. La estructura en sí se presentó en un archivo de Microsoft Excel, y ahí es donde comienza el verdadero problema.

El archivo, titulado «OKX Binance & Huobi VIP fee comparision.xls», está protegido con un «dragón de contraseñas», lo que significa que la víctima debe habilitar las macros para ver el contenido.

Habilitar macros también genera una gran cantidad de problemas: el archivo contiene una segunda hoja de cálculo incrustada, que descarga y analiza un archivo PNG, que extrae una DLL maliciosa, una puerta trasera codificada con XOR y un archivo ejecutable de Windows limpio que se usaría más adelante. . para cargar la DLL maliciosa.

Después de todo, los atacantes terminan con acceso remoto al punto final de destino (se abre en una nueva pestaña).

Si bien Microsoft no vincula a este grupo con ningún actor de amenazas conocido y conserva la etiqueta DEV-0139 (la etiqueta DEV generalmente se usa para actores de amenazas que aún no están vinculados a grupos conocidos), un informe separado de los expertos en inteligencia de amenazas Volexity afirma que es, en De hecho, Lazarus Group, un infame actor de amenazas patrocinado por el estado de Corea del Norte, ha descubierto BleepingComputer.

Aparentemente, Lazarus ha utilizado la hoja de cálculo de comparación de tarifas de criptomonedas en el pasado para infectar a sus objetivos con el malware AppleJeus.

Vía: BleepingComputer (se abre en una nueva pestaña)

Share This