- Publicité -


07 décembre 2022Ravie LakshmananCrypto-monnaie / Threat Intelligence

ms

Les sociétés d’investissement en crypto-monnaie sont la cible d’un cluster de menaces en développement qui utilise des groupes Telegram pour rechercher des victimes potentielles.

- Publicité -

Le Security Threat Intelligence Center (MSTIC) de Microsoft suit l’activité sous le nom DEV-0139et s’appuie sur un rapport récent de Volexity qui a attribué le même ensemble d’attaques au groupe Lazarus de la Corée du Nord.

“DEV-0139 a rejoint les groupes Telegram utilisés pour faciliter la communication entre les clients VIP et les plateformes d’échange de crypto-monnaie et a identifié leur cible parmi les membres”, a déclaré le géant de la technologie. a dit.

L’adversaire s’est ensuite fait passer pour une autre société d’investissement en crypto-monnaie et a invité la victime à rejoindre un autre groupe de discussion Telegram sous prétexte de demander des commentaires sur la structure des frais de négociation utilisée par les plateformes d’échange à travers les niveaux VIP.

La cyber-sécurité

Il convient de souligner que le Programme VIP est conçu à récompense commerçants à gros volume avec des incitations exclusives sur les frais de négociation et des remises basées sur le volume de négociation sur 30 jours.

Cette chaîne d’attaques concorde notamment avec l’analyse par Volexity d’une campagne d’octobre 2022, dans laquelle l’acteur de la menace est passé de l’utilisation de fichiers d’installation MSI à une arme Document Microsoft Excel affichant les taux supposés de pièces de crypto-monnaie.

Microsoft a décrit le document comme contenant des données probablement précises pour augmenter les chances de succès de la campagne, suggérant que DEV-0139 connaît bien le fonctionnement interne de l’industrie de la cryptographie.

Le fichier Excel contenant des logiciels malveillants, pour sa part, est chargé d’exécuter une macro malveillante qui est utilisée pour déposer et exécuter furtivement une deuxième feuille de calcul Excel, qui, à son tour, comprend une macro qui télécharge un fichier image PNG hébergé sur OpenDrive.

hack

Ce fichier image contient trois exécutables, chacun étant utilisé pour lancer la charge utile de l’étape suivante, ouvrant finalement la voie à une porte dérobée qui permet à l’auteur de la menace d’accéder à distance au système infecté.

De plus, la feuille de calcul de la structure des frais est protégée par un mot de passe dans le but de convaincre la cible d’activer les macros, déclenchant ainsi des actions malveillantes. Une analyse des métadonnées du fichier montre qu’il a été créé le 14 octobre 2022 par un utilisateur nommé Wolf.

DEV-0139 a également été lié à une séquence d’attaque alternative dans laquelle un package MSI pour une fausse application nommée “CryptoDashboardV2” est livré à la place d’un document Excel malveillant pour déployer le même implant.

La porte dérobée permet principalement un accès à distance à l’hôte en collectant des informations à partir du système ciblé et en se connectant à un serveur de commande et de contrôle (C2) pour recevoir des commandes supplémentaires.

“Le marché de la crypto-monnaie reste un domaine d’intérêt pour les acteurs de la menace”, a déclaré Microsoft. “Les utilisateurs ciblés sont identifiés via des canaux de confiance pour augmenter les chances de succès.”

Ces dernières années, Telegram a non seulement été témoin adoption répandue dans l’industrie de la crypto-monnaie, mais ont également été cooptés par des acteurs de la menace qui cherchent à discuter des vulnérabilités du jour zéro, à proposer des données volées et à commercialiser leurs services via la plate-forme de messagerie populaire.

“Avec les utilisateurs qui perdent confiance dans l’anonymat offert par les forums, les marchés illicites se tournent de plus en plus vers Telegram”, Positive Technologies divulgué dans une nouvelle étude portant sur 323 chaînes et groupes publics Telegram comptant plus d’un million d’abonnés au total.

“Le nombre de cyberattaques uniques ne cesse de croître, et le marché des services cybercriminels se développe et se déplace vers les médias sociaux et les applications de messagerie ordinaires, abaissant ainsi considérablement le seuil d’entrée des cybercriminels.”

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.



Rate this post
Avatar
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici