L'attaccante prende di mira i ricchi fondi Cripto tramite le chat di Telegram

Nell'ultimo tipo di attacchi incentrati sulle criptovalute, un aggressore noto come DEV-0139 ha preso di mira ricchi fondi Criptovaluta tramite l'uso di chat di gruppo di Telegram, ha affermato il team di Security Intelligence di Microsoft (MSFT) in un rapporto il mercoledì.

Le commissioni applicate dagli exchange Cripto sulle transazioni rappresentano una grande sfida per i fondi di investimento e i trader facoltosi. Rappresentano un costo e devono essere ottimizzate per ridurre al minimo l'impatto su margini e profitti. Come nel caso di molte altre aziende in questo settore, i costi maggiori derivano dalle commissioni applicate dagli exchange.

L'aggressore o il gruppo di aggressori ha sfruttato questo specifico problema per attirare i propri obiettivi di cripto-fondi.

DEV-0139 si è unito a diversi gruppi Telegram, utilizzati da clienti e exchange di alto profilo per la comunicazione, e ha identificato il suo obiettivo tra i membri del gruppo. Gli exchange OKX, Huobi e Binance sono stati presi di mira, come mostrano i dati del report Microsoft.

Fingendosi un dipendente di un exchange, DEV-0139 ha invitato la vittima a un altro gruppo di chat e ha finto di chiedere un feedback sulle strutture tariffarie utilizzate dagli exchange. Ha quindi avviato una conversazione per guadagnarsi la fiducia della vittima, utilizzando la sua conoscenza del settore e la sua preparazione per attirare gradualmente le vittime.

DEV-0139 ha quindi inviato un file Excel modificato contenente dati accurati sulle strutture tariffarie delle società di scambio di criptovalute, con l'obiettivo di aumentare la propria credibilità.

Il file Excel ha avviato una serie di attività, tra cui l'utilizzo di un programma dannoso per recuperare dati e rilasciare un altro foglio Excel. Questo foglio è stato quindi eseguito in modalità invisibile e utilizzato per scaricare un file immagine contenente tre eseguibili: un file Windows legittimo, una versione dannosa di un file DLL e una backdoor codificata XOR.

Una DLL è una libreria che contiene codice e dati che possono essere utilizzati da più di ONE programma contemporaneamente. D'altro canto, XOR è un metodo di crittografia utilizzato per crittografare i dati ed è difficile da decifrare con il metodo brute-force

L'autore della minaccia è quindi riuscito ad accedere da remoto al sistema infetto tramite l'uso della backdoor.

Microsoft ha affermato che DEV-0139 potrebbe aver condotto altre campagne utilizzando tecniche simili.