Microsoft alerta empresas de criptomoedas sobre ataques cibernéticos direcionados

Microsoft apresenta solução para travamentos do menu Iniciar ou aplicativos
microsoft

A Microsoft está alertando empresas de investimento em criptomoedas sobre ataques cibernéticos direcionados. Essas empresas estão sendo alvo de um cluster de ameaças em desenvolvimento que usa grupos do Telegram para procurar vítimas em potencial.

O Security Threat Intelligence Center (MSTIC) da Microsoft está rastreando a atividade sob o nome DEV-0139 e se baseia em um relatório recente da Volexity que atribuiu o mesmo conjunto de ataques ao Lazarus Group da Coreia do Norte.

Microsoft alerta sobre ataques cibernéticos a empresas de criptomoedas

De acordo com a Microsoft, “O DEV-0139 se juntou a grupos do Telegram usados para facilitar a comunicação entre clientes VIP e plataformas de troca de criptomoedas e identificou seu alvo entre os membros”. Posteriormente, o adversário se fez passar por outra empresa de investimento em criptomoedas e convidou a vítima a participar de outro grupo de bate-papo do Telegram sob o pretexto de pedir feedback sobre a estrutura de taxas de negociação usada pelas plataformas de câmbio em níveis VIP.

Vale ressaltar que o programa VIP é projetado para recompensar os traders de alto volume com incentivos exclusivos de taxa de negociação e descontos com base na atividade nos últimos 30 dias.

Essa cadeia de ataque se encaixa notavelmente com a análise da Volexity de uma campanha de outubro de 2022, na qual o agente da ameaça passou do uso de arquivos do instalador MSI para um documento do Microsoft Excel armado exibindo as supostas taxas de moedas de criptomoeda.

A Microsoft descreveu o documento como contendo dados provavelmente precisos para aumentar a probabilidade de sucesso da campanha, sugerindo que o DEV-0139 é bem versado no funcionamento interno da indústria de criptomoedas.

O The Hacker News aponta que o arquivo do Excel com malware, por sua vez, é encarregado de executar uma macro maliciosa usada para soltar e executar furtivamente uma segunda planilha do Excel, que, por sua vez, inclui uma macro que baixa um arquivo de imagem PNG hospedado no OpenDrive.

microsoft-alerta-empresas-de-criptomoedas-sobre-ataques-ciberneticos-direcionados

Este arquivo de imagem contém três executáveis, cada um dos quais é usado para iniciar a carga útil do próximo estágio, abrindo caminho para um backdoor que permite que o agente da ameaça acesse remotamente o sistema infectado.

Além disso, a planilha de estrutura de taxas é protegida por senha em uma tentativa de convencer o alvo a habilitar macros, iniciando assim as ações maliciosas. Uma análise de metadados do arquivo mostra que ele foi criado em 14 de outubro de 2022 por um usuário chamado Wolf.

O backdoor permite principalmente o acesso remoto ao host reunindo informações do sistema de destino e conectando-se a um servidor de comando e controle (C2) para receber comandos adicionais.

Nos últimos anos, o Telegram não apenas testemunhou uma adoção generalizada no setor de criptomoedas, mas também foi cooptado por agentes de ameaças que buscam discutir vulnerabilidades de dia zero, oferecer dados roubados e comercializar seus serviços por meio da popular plataforma de mensagens.