Hacker ataca fondos de criptomonedas acaudalados usando chats de Telegram

En lo último sobre ataques relacionados con criptomonedas, un hacker bajo el nombre de DEV-0139 está atacando fondos de criptomonedas acaudalados a través de grupos de chats de Telegram, aseguró el miércoles en un informe el equipo de Inteligencia en Seguridad de Microsoft (MSFT).

Read this article in English.

Las comisiones por las transacciones que cobran los exchanges de criptomonedas representan un gran desafío para los fondos de inversión y traders adinerados, dado que son un gasto y deben ser optimizados para minimizar el impacto sobre los márgenes y las ganancias. Como sucede con muchas otras empresas de este sector, los costos más importantes provienen de las comisiones que cobran los exchanges.

El atacante —o grupo de atacantes— aprovechó la oportunidad que genera este problema específico para atraer a los fondos de criptomonedas.

Sigue a CoinDesk en Español.

DEV-0139 se unió a varios grupos de Telegram, que los clientes y exchanges de alto perfil usan para comunicarse, y eligió a sus objetivos entre los miembros. Según muestra el informe de Microsoft, entre las víctimas se encontraban OKX, Huobi y Binance.

DEV-0139 se hizo pasar por un empleado de un exchange y los invitó a un grupo de chat diferente con la excusa de pedirles feedback sobre la estructura de comisiones utilizada por los exchanges. Luego, inició una conversación usando todo el conocimiento que tiene sobre la industria para ganarse su confianza y así atraer a la víctima poco a poco.

Tras esta charla inicial, DEV-0139 envió un archivo de Excel armado que contenía datos precisos sobre la estructura de las comisiones entre las empresas de exchanges de criptomonedas con el objetivo de aumentar su credibilidad.

De esta manera, el archivo de Excel inició una serie de actividades, entre ellas el uso de un programa malicioso para recuperar datos y arrojar otra hoja de Excel. Esta nueva hoja se ejecutaría en modo oculto y se usaría para descargar un archivo de imagen con tres ejecutables: un archivo legítimo de Windows, una versión maliciosa de un archivo DLL y un acceso codificado XOR.

Un DLL es una librería que contiene códigos y datos que pueden ser utilizados por más de un programa al mismo tiempo. Por otra parte, XOR es un método de cifrado que se usa para encriptar datos que es difícil de descifrar a través del método de fuerza bruta.

Así, el atacante pudo acceder de manera remota al sistema infectado a través del acceso codificado.

Microsoft dijo que es probable que DEV-0139 también haya realizado otras campañas utilizando técnicas similares.

Este artículo fue traducido por Natalia Paulovsky.