A Microsoft diz que as empresas de investimento em criptomoedas foram alvo de um grupo de ameaças que rastreia como DEV-0139 por meio de grupos do Telegram usados para se comunicar com os clientes VIP das empresas.
“A Microsoft investigou recentemente um ataque em que o agente da ameaça, rastreado como DEV-0139, aproveitou os grupos de bate-papo do Telegram para atingir empresas de investimento em criptomoedas”, revelou a equipe de inteligência de ameaças de segurança da empresa.
"DEV-0139 juntou-se a grupos do Telegram usados para facilitar a comunicação entre clientes VIP e plataformas de troca de criptomoedas e identificou seu alvo entre os membros."
Em 19 de outubro, invasores com amplo conhecimento da indústria de investimentos em cripto convidaram pelo menos um alvo (se passando por representantes de outras empresas de gerenciamento de criptoativos) para outro grupo do Telegram, onde pediram feedback sobre a estrutura de taxas das plataformas de troca de criptomoedas.
Depois de ganhar a confiança de seus alvos, os invasores enviaram planilhas Excel maliciosas chamadas "OKX Binance & Huobi VIP rate comparision.xls" com uma comparação de dados (provavelmente precisa para aumentar a credibilidade) entre as estruturas de taxas VIP das empresas de câmbio de criptomoedas.
Depois que a vítima abre o documento e ativa as macros, uma segunda planilha incorporada ao arquivo baixa e analisa um arquivo PNG para extrair uma DLL maliciosa, um backdoor codificado por XOR e um executável legítimo do Windows usado posteriormente para carregar a DLL.
Essa DLL descriptografará e carregará o backdoor, fornecendo aos invasores acesso remoto ao sistema comprometido da vítima.
“A planilha principal no arquivo do Excel é protegida com a senha do dragão para encorajar o alvo a habilitar as macros”, explicou a Microsoft.
"A planilha é então desprotegida após a instalação e execução do outro arquivo do Excel armazenado em Base64. Isso provavelmente é usado para enganar o usuário para habilitar macros e não levantar suspeitas."
O DEV-0139 também entregou uma segunda carga útil como parte desta campanha, um pacote MSI para um aplicativo CryptoDashboardV2, sugerindo que eles também estão por trás de outros ataques usando a mesma técnica para enviar cargas personalizadas.
Enquanto a Microsoft não atribuiu este ataque a um grupo específico e, em vez disso, optou por vinculá-lo ao cluster DEV-0139 de atividade de ameaça, a empresa de inteligência de ameaças Volexity também publicou suas próprias descobertas sobre este ataque no fim de semana, conectando-o ao Norte Grupo coreano de ameaças Lazarus.
De acordo com a Volexity, os hackers norte-coreanos usaram a planilha maliciosa de comparação de taxas de troca de criptomoedas para descartar o malware AppleJeus que Lazarus usou anteriormente em operações de sequestro de criptomoedas e roubo de ativos digitais.
A Volexity também observou o Lazarus usando um clone de site para a plataforma automatizada de negociação de criptomoeda HaasOnline para distribuir um aplicativo BloxHolder trojanizado que, em vez disso, implantaria o malware AppleJeus agrupado no aplicativo QTBitcoinTrader.
A Microsoft diz que notificou os clientes que foram comprometidos ou alvos desses ataques e compartilhou as informações necessárias para proteger suas contas.
O Lazarus Group é um grupo de hackers que opera na Coreia do Norte e está ativo há mais de uma década, desde pelo menos 2009.
Seus agentes são conhecidos por ataques a alvos de alto perfil em todo o mundo, incluindo bancos, organizações de mídia e agências governamentais.
Acredita-se que o grupo seja responsável por ataques cibernéticos de alto perfil, incluindo o hack da Sony Pictures de 2014 e o ataque de ransomware WannaCry de 2017.