مایکروسافت گزارش میدهد که یک گروه هکری شناسایی کرده که به گروههای ارز دیجیتالی تلگرام حمله میکند و کنترل دستگاه آنها را به دست میآورد. با ما در آیتیرسان همراه باشید.
مایکروسافت هشدار داد که مشتریان VIP صرافیهای ارزهای دیجیتال، بهویژه شرکتهای سرمایهگذاری ارزهای دیجیتال، هدف یک حمله فیشینگ بسیار پیچیده شدهاند.
در گزارش اخیر، مایکروسافت اعلام کرد که یک عامل تهدید ناشناخته با برچسب DEV-0139 را مشاهده کرده است که به گروههای تلگرام منتقل میشود که با عنوان «تسهیل ارتباط بین مشتریان VIP و پلتفرمهای مبادله ارزهای دیجیتال» با اهداف خود ارتباط اولیه برقرار میکند.
پس از شناسایی قربانیان احتمالی، این گروه با فرض پیدا کردن یک همتا دیگر (یک شرکت سرمایهگذاری ارزهای دیجیتال دیگر) به این کاربران نزدیک میشود و در مورد ساختار هزینهای که پلتفرمهای مبادلات ارزهای دیجیتال مختلف استفاده میکنند، بازخورد میخواهد. یکی از این رویدادها در 19 اکتبر 2022 مشاهده شد.
به گفته مایکروسافت، این گروه «دانش وسیعتری» از این بخش از صنعت دارد، که نشان میدهد ساختار هزینهای که با قربانیان به اشتراک گذاشته، احتمالا دقیق است. خود ساختار در یک فایل مایکروسافت اکسل ارائه شد و از آنجاست که مشکل واقعی شروع میشود.
این فایل با عنوان “OKX Binance & Huobi VIP fee comparision.xls” با “password dragon” محافظت میشود به این معنی که قربانی برای مشاهده محتویات باید ماکروها را فعال کند.
فعال کردن ماکروها همچنین مشکلات زیادی را ایجاد میکند: فایل دارای یک صفحه گسترده دوم و جاسازی شده است که یک فایل PNG را دانلود و تجزیه میکند، یک DLL مخرب، یک درب پشتی رمزگذاری شده با XOR و یک فایل اجرایی ویندوز را که بعدا برای بارگذاری جانبی DLL مخرب، استخراج میکند.
پس از اینکه همه چیز گفته شد و انجام شد، مهاجمان در نهایت میتوانند به کامپیوتر هدف دسترسی از راه دور داشته باشند.
در حالی که مایکروسافت این گروه را با هیچ عامل تهدید شناخته شدهای مرتبط نمیکند و برچسب DEV-0139 را نگه میدارد (برچسب DEV معمولاً برای عوامل تهدید استفاده میشود که هنوز به هیچ گروه شناخته شدهای مرتبط نشدهاند)، گزارش جداگانهای از کارشناسان اطلاعات تهدید Volexity ادعا میکند که در واقع، گروه Lazarus، یک بازیگر تهدید آمیز بدنام توسط دولت کره شمالی، BleepingComputer در این نوع حملات دست داشته است.
ظاهراً لازاروس در گذشته از صفحه گسترده مقایسه کارمزد ارزهای دیجیتال برای آلوده کردن اهداف خود به بدافزار AppleJeus استفاده میکرد.
