ลูกค้า VIP ของการแลกเปลี่ยน cryptocurrency โดยเฉพาะบริษัทการลงทุน cryptocurrency ได้กลายเป็นเป้าหมายของการโจมตีแบบฟิชชิ่งที่มีความซับซ้อนสูง Microsoft เตือน
ในรายงานล่าสุด (เปิดในแท็บใหม่) Microsoft กล่าวว่าได้สังเกตเห็นผู้ไม่ประสงค์ดีที่ไม่รู้จักซึ่งมีป้ายกำกับว่า DEV-0139 เคลื่อนไหวไปมาในกลุ่มโทรเลข "ใช้เพื่ออำนวยความสะดวกในการสื่อสารระหว่างลูกค้า VIP และการแลกเปลี่ยนสกุลเงินดิจิทัลบนเครือข่ายสังคม"
หลังจากระบุผู้ที่อาจตกเป็นเหยื่อแล้ว กลุ่มจะเข้าหาผู้ใช้เหล่านั้น โดยสมมติตัวตนของเพื่อน บริษัทการลงทุนสกุลเงินดิจิทัลอื่น และขอความคิดเห็นเกี่ยวกับโครงสร้างค่าธรรมเนียมที่ใช้โดยการแลกเปลี่ยนสกุลเงินดิจิทัลต่างๆ เหตุการณ์ดังกล่าวเกิดขึ้นเมื่อวันที่ 19 ตุลาคม พ.ศ. 2022
ผู้โจมตีที่มีสติ
จากข้อมูลของ Microsoft กลุ่มนี้มี "ความเข้าใจที่กว้างขึ้น" ในส่วนนี้ของอุตสาหกรรม ซึ่งบ่งชี้ว่าโครงสร้างราคาที่แชร์กับผู้ที่ตกเป็นเหยื่อนั้นน่าจะถูกต้อง โครงสร้างนั้นถูกนำเสนอในไฟล์ Microsoft Excel และนั่นคือจุดเริ่มต้นของปัญหาที่แท้จริง
ไฟล์นี้มีชื่อว่า “OKX Binance & Huobi VIP fee comparision.xls” ได้รับการป้องกันด้วย “password dragon” ซึ่งหมายความว่าเหยื่อต้องเปิดใช้งานมาโครเพื่อดูเนื้อหา
การเปิดใช้งานมาโครยังสร้างปัญหามากมาย: ไฟล์ประกอบด้วยสเปรดชีตที่สองที่ฝังไว้ ซึ่งจะดาวน์โหลดและแยกวิเคราะห์ไฟล์ PNG ซึ่งแยก DLL ที่เป็นอันตราย แบ็คดอร์ที่เข้ารหัส XOR และไฟล์ปฏิบัติการ Windows สะอาดที่จะใช้ในภายหลัง . เพื่อโหลด DLL ที่เป็นอันตราย
ท้ายที่สุด ผู้โจมตีจะลงเอยด้วยการเข้าถึงระยะไกลไปยังปลายทางเป้าหมาย (เปิดในแท็บใหม่)
แม้ว่า Microsoft จะไม่เชื่อมโยงกลุ่มนี้กับกลุ่มผู้คุกคามที่รู้จักและเก็บแท็ก DEV-0139 ไว้ (โดยทั่วไปแล้วแท็ก DEV จะใช้กับผู้คุกคามที่ยังไม่ได้เชื่อมโยงกับกลุ่มที่รู้จัก) รายงานแยกต่างหากจากผู้เชี่ยวชาญด้านข่าวกรองผู้คุกคามผู้คุกคาม Volexity อ้างว่าเป็น ในความเป็นจริง Lazarus Group ซึ่งเป็นนักคุกคามที่น่าอับอายที่ได้รับการสนับสนุนจากรัฐในเกาหลีเหนือได้ค้นพบ BleepingComputer
เห็นได้ชัดว่า Lazarus ใช้สเปรดชีตเปรียบเทียบค่าธรรมเนียม cryptocurrency ในอดีตเพื่อทำให้เป้าหมายติดเชื้อด้วยมัลแวร์ AppleJeus
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)