Microsoft разоблачили связанного с Северной Кореей хакера, который воровал у крипто стартапов

Подразделение безопасности компании Microsoft в пресс-релизе, опубликованном вчера, 6 декабря, раскрыло атаку, направленную на криптовалютные стартапы. 

Хакеры входили в доверие через чат в Telegram и отправляли файл Excel под названием "OKX Binance and Huobi VIP fee comparison.xls", который содержал вредоносный код, способный удаленно получить доступ к системе жертвы.

Группа разведки киберугроз Security отследила исполнителя угрозы как DEV-0139. Хакеру удалось проникнуть в чат-группы в Telegram, приложении для обмена сообщениями, маскируясь под представителей криптоинвестиционной компании. Он делал вид, что обсуждает торговые комиссии с VIP-клиентами крупных бирж. 

 А цель вредоносного кода заключалась в том, чтобы обманом заставить криптоинвестиционные фонды загрузить файл Excel. Этот файл содержит точную информацию о структуре комиссий крупнейших криптовалютных бирж. 

С другой стороны, он содержит вредоносный макрос, который запускает другой лист Excel в фоновом режиме. Таким образом, злоумышленник получает удаленный доступ к зараженной системе жертвы. 

Наряду с вредоносным файлом макроса Excel, DEV-0139 также поставлял полезную информацию. Это MSI-пакет для приложения CryptoDashboardV2, которое выполняет ту же навязчивую атаку. Это позволило нескольким разведкам предположить, что хакеры также стоят за другими атаками, использующими ту же технику для передачи пользовательской полезной информации.

До недавнего обнаружения DEV-0139 были и другие подобные фишинговые атаки, которые, по мнению некоторых специалистов по анализу угроз, могли быть делом рук тех же людей. 

Компания Volexity, занимающаяся анализом угроз, также опубликовала свои выводы об этой атаке в выходные, связав ее с северокорейской группой хакеров Lazarus.

По данным Volexity, северокорейские хакеры используют аналогичные вредоносные электронные таблицы сравнения комиссионных сборов криптобирж для распространения вредоносной программы AppleJeus. Именно эту прогу они использовали в операциях по захвату криптовалюты и краже цифровых активов.

И да! Чтобы точно ничего важного не пропустить, подпишись на наш YouTube, Telegram и добавь вебсайт в закладки.