Un attaquant cible les fonds Crypto les plus riches via des chats Telegram

Dans le dernier type d'attaques axées sur la cryptographie, un attaquant connu sous le nom de DEV-0139 a ciblé des fonds de Cryptomonnaie riches via l'utilisation de discussions de groupe Telegram, a déclaré l'équipe de renseignement de sécurité de Microsoft (MSFT) dans un communiqué. rapportle mercredi.

Les frais prélevés par les plateformes d'échange de Crypto sur les transactions représentent un défi majeur pour les fonds d'investissement et les traders fortunés. Ils représentent un coût et doivent être optimisés pour minimiser leur impact sur les marges et les bénéfices. Comme pour de nombreuses autres entreprises du secteur, les coûts les plus importants proviennent des frais facturés par les plateformes d'échange.

L'attaquant ou le groupe d'attaquants a capitalisé sur ce problème spécifique pour attirer ses cibles de crypto-fonds.

DEV-0139 a rejoint plusieurs groupes Telegram, utilisés par des clients et des plateformes d'échange de renom, et a identifié sa cible parmi les membres du groupe. Les plateformes OKX, Huobi et Binance ont été ciblées, selon les données du rapport Microsoft.

Se faisant passer pour un employé de la plateforme d'échange, DEV-0139 a invité sa cible à rejoindre un autre groupe de discussion et a prétendu demander son avis sur les structures tarifaires des plateformes. Il a ensuite engagé la conversation pour gagner sa confiance, en s'appuyant sur sa connaissance du secteur et sa capacité à attirer progressivement ses victimes.

DEV-0139 a ensuite envoyé un fichier Excel militarisé contenant des données précises sur les structures de frais parmi les sociétés d'échange de cryptomonnaies dans le but d'accroître sa crédibilité.

Le fichier Excel a déclenché une série d'activités, notamment l'utilisation d'un programme malveillant pour récupérer des données et insérer une autre feuille Excel. Cette feuille a ensuite été exécutée en mode invisible et utilisée pour télécharger un fichier image contenant trois exécutables : un fichier Windows légitime, une version malveillante d'une DLL et une porte dérobée codée XOR.

Une DLL est une bibliothèque contenant du code et des données utilisables simultanément par ONE programmes. Le XOR, quant à lui, est une méthode de chiffrement utilisée pour chiffrer les données, difficile à déchiffrer par force brute.

L’acteur de la menace a ensuite pu accéder à distance au système infecté grâce à l’utilisation de la porte dérobée.

Microsoft a déclaré que DEV-0139 pourrait également avoir mené d'autres campagnes utilisant des techniques similaires.