Les clients VIP des échanges de crypto-monnaie, en particulier les sociétés d’investissement en crypto-monnaie, sont devenus la cible d’une attaque de phishing hautement sophistiquée, avertit Microsoft.
Dans un rapport récent (s’ouvre dans un nouvel onglet)Microsoft a déclaré avoir observé un acteur de menace inconnu, étiqueté DEV-0139, se déplaçant dans des groupes Telegram « utilisés pour faciliter la communication entre les clients VIP et les plates-formes d’échange de crypto-monnaie ».
Après avoir identifié les victimes potentielles, le groupe approcherait ensuite ces utilisateurs, en supposant l’identité d’un pair – une autre société d’investissement en crypto-monnaie – et demanderait des commentaires sur la structure des frais que les différentes plates-formes d’échange de crypto-monnaie utilisent. Un incident de ce type a été observé le 19 octobre 2022.
Les attaquants au courant
Selon Microsoft, le groupe a une « connaissance plus large » de cette partie de l’industrie, ce qui suggère que la structure tarifaire qu’il a partagée avec les victimes est probablement exacte. La structure elle-même a été présentée dans un fichier Microsoft Excel, et c’est là que les vrais problèmes commencent.
Le fichier, intitulé « OKX Binance & Huobi VIP fee comparision.xls », est protégé par un « dragon de mot de passe », ce qui signifie que la victime doit activer les macros pour afficher le contenu.
L’activation des macros entraîne également toute une série de problèmes : le fichier contient une deuxième feuille de calcul intégrée, qui télécharge et analyse un fichier PNG, qui extrait une DLL malveillante, une porte dérobée encodée XOR et un fichier exécutable Windows propre qui serait utilisé plus tard. pour charger la DLL malveillante.
Après tout, les attaquants se retrouvent avec un accès à distance au terminal de la cible (s’ouvre dans un nouvel onglet).
Bien que Microsoft ne lie ce groupe à aucun acteur de menace connu et conserve l’étiquette DEV-0139 (l’étiquette DEV est généralement utilisée pour les acteurs de menace qui ne sont pas encore liés à des groupes connus), un rapport distinct des experts en renseignement sur les menaces Volexity affirme que c’est, en fait, Lazarus Group, un tristement célèbre acteur de la menace parrainé par l’État nord-coréen, BleepingComputer a découvert.
Apparemment, Lazarus a utilisé la feuille de calcul de comparaison des frais de crypto-monnaie dans le passé pour infecter ses cibles avec le malware AppleJeus.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)