Microsofts säkerhetsavdelning, i en pressmeddelande igår, den 6 december, avslöjade en attack riktad mot startups av kryptovaluta. De fick förtroende genom Telegram-chatt och skickade en Excel med titeln "OKX Binance and Huobi VIP fee comparison.xls", som innehöll skadlig kod som kunde fjärråtkomst till offrets system.
Underrättelseteamet för säkerhetshot har spårat hotaktören som DEV-0139. Hackaren kunde infiltrera chattgrupper på Telegram, meddelandeappen, maskerade sig som representanter för ett kryptoinvesteringsbolag och låtsades diskutera handelsavgifter med VIP-kunder på större börser.
Målet var att lura kryptoinvesteringsfonder att ladda ner en Excel-fil. Den här filen innehåller korrekt information om avgiftsstrukturerna för stora kryptovalutabörser. Å andra sidan har den ett skadligt makro som kör ett annat Excel-ark i bakgrunden. Med detta får den här dåliga skådespelaren fjärråtkomst till offrets infekterade system.
Microsoft förklarade, "Huvudarket i Excel-filen är skyddat med lösenordsdraken för att uppmuntra målet att aktivera makron." De tillade, "Arket är sedan oskyddat efter installation och körning av den andra Excel-filen som är lagrad i Base64. Detta används sannolikt för att lura användaren att aktivera makron och inte väcka misstankar.”
Enligt rapporter, i augusti kryptovaluta Mining malware-kampanj infekterade mer än 111,000 XNUMX användare.
Hotspaning kopplar DEV-0139 till den nordkoreanska Lazarus-hotgruppen.
Tillsammans med den skadliga makro Excel-filen levererade DEV-0139 också en nyttolast som en del av detta knep. Detta är ett MSI-paket för en CryptoDashboardV2-app, som betalar ut samma obtrusion. Detta hade fått flera underrättelser att antyda att de också ligger bakom andra attacker som använder samma teknik för att driva anpassade nyttolaster.
Innan den senaste upptäckten av DEV-0139 hade det förekommit andra liknande nätfiskeattacker som vissa hotunderrättelseteam föreslog skulle kunna fungera hos DEV-0139.
Hotintelligensföretaget Volexity släppte också sina resultat om denna attack under helgen och kopplade den till Nordkoreanska Lazarus hotgrupp.
Enligt Volexity, nordkoreanen hackare använd liknande skadliga kalkylblad för jämförelse av avgifter för kryptoväxling för att släppa AppleJeus skadliga program. Detta är vad de har använt vid kapning av kryptovalutor och stöld av digitala tillgångar.
Volexity har också avslöjat Lazarus med hjälp av en webbplatsklon för HaasOnline automatiserade kryptohandelsplattform. De distribuerar en trojaniserad Bloxholder-app som istället skulle distribuera AppleJeus skadlig kod som är paketerad i QTBitcoinTrader-appen.
Lazarus Group är en cyberhotgrupp som verkar i Nordkorea. Det har varit aktivt sedan omkring 2009. Det är ökänt för att attackera högprofilerade mål över hela världen, inklusive banker, medieorganisationer och statliga myndigheter.
Gruppen misstänks också vara ansvarig för 2014 års Sony Pictures-hack och WannaCry ransomware-attacken 2017.
Källa: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/