Tinatarget ng Attacker ang Mayayamang Crypto Funds Gamit ang Mga Telegram Chat

Sa pinakabagong uri ng crypto-focused attacks, isang attacker na kilala bilang DEV-0139 ang nag-target ng mayayamang pondo ng Cryptocurrency sa pamamagitan ng paggamit ng mga Telegram group chat, sinabi ng Microsoft (MSFT) Security Intelligence team sa isang ulat noong Miyerkules.

Ang mga bayarin na ipinapataw ng Crypto exchange sa mga transaksyon ay isang malaking hamon para sa mga pondo ng pamumuhunan at mayayamang mangangalakal. Kinakatawan ng mga ito ang isang gastos at dapat na i-optimize upang mabawasan ang epekto sa mga margin at kita. Tulad ng kaso sa maraming iba pang mga kumpanya sa industriyang ito, ang pinakamalaking gastos ay nagmumula sa mga bayad na sinisingil ng mga palitan.

Ginamit ng attacker o grupo ng mga attacker ang partikular na problemang ito para akitin ang kanilang mga target na crypto-fund.

Sumali ang DEV-0139 sa ilang grupo ng Telegram, na ginagamit ng mga high-profile na kliyente at pagpapalitan para sa komunikasyon, at tinukoy ang kanilang target mula sa mga miyembro ng grupo. Ang mga palitan ng OKX, Huobi at Binance ay na-target, ipinapakita ng data mula sa ulat ng Microsoft.

Nagpanggap bilang isang exchange employee, inimbitahan ng DEV-0139 ang target sa ibang chat group at nagkunwaring humingi ng feedback sa mga istruktura ng bayad na ginagamit ng mga exchange. Pagkatapos ay sinimulan nila ang isang pag-uusap upang makuha ang tiwala ng target - gamit ang kanilang kaalaman sa industriya at kahandaan upang unti-unting maakit ang mga biktima.

Pagkatapos ay nagpadala ang DEV-0139 ng isang weaponized na Excel file na naglalaman ng tumpak na data sa mga istruktura ng bayad sa mga kumpanya ng cryptocurrency-exchange na may layuning pataasin ang kanyang kredibilidad.

Ang Excel file ay nagpasimula ng isang serye ng mga aktibidad, kabilang ang paggamit ng isang nakakahamak na programa upang kunin ang data at mag-drop ng isa pang Excel sheet. Ang sheet na ito ay isinagawa sa invisible mode at ginamit para mag-download ng picture file na naglalaman ng tatlong executable: isang lehitimong Windows file, isang malisyosong bersyon ng isang DLL file at isang XOR-encoded back door.

Ang DLL ay isang library na naglalaman ng code at data na maaaring magamit ng higit sa ONE programa nang sabay-sabay. Sa kabilang banda, ang XOR ay isang paraan ng pag-encrypt na ginagamit upang i-encrypt ang data at mahirap i-crack ng brute-force na paraan.

Ang aktor ng banta ay nagawang ma-access nang malayuan ang nahawaang sistema sa pamamagitan ng paggamit ng pinto sa likod.

Sinabi ng Microsoft na ang DEV-0139 ay maaaring nagpatakbo din ng iba pang mga kampanya gamit ang mga katulad na pamamaraan.