Les clients VIP des bourses de crypto-monnaies, en particulier les sociétés d'investissement en crypto-monnaies, sont devenus la cible d'une attaque de phishing très sophistiquée, avertit Microsoft.
Dans un rapport récent, Microsoft a déclaré avoir observé un "acteur de la menace" inconnu, étiqueté DEV-0139. Il se déplace dans les groupes Telegram "utilisés pour faciliter la communication entre les clients VIP et les plateformes d'échange de crypto-monnaies".
Après avoir identifié des victimes potentielles, le groupe approchait ensuite ces utilisateurs, en prenant l'identité d'un pair - une autre société d'investissement en crypto-monnaies - et leur demandait de commenter la structure tarifaire utilisée par différentes plateformes d'échange de crypto-monnaies. Un incident de ce type a été observé le 19 octobre 2022.
Des attaquants bien informés
Selon Microsoft, le groupe a une "connaissance approfondie" de ce domaine, ce qui suggère que la grille tarifaire qu'il a partagée avec les victimes est probablement exacte. La structure elle-même a été présentée dans un fichier Microsoft Excel, et c'est là que les vrais problèmes commencent.
Le fichier, intitulé "OKX Binance & Huobi VIP fee comparision.xls", est protégé par un " mot de passe dragon ", ce qui signifie que la victime doit activer les macros afin de visualiser le contenu.
L'activation des macros entraîne alors de nombreux problèmes : le fichier contient une deuxième feuille de calcul intégrée, qui télécharge et analyse un fichier PNG, lequel extrait une DLL malveillante, une porte dérobée codée XOR et un fichier exécutable Windows propre qui sera utilisé ultérieurement pour charger la DLL malveillante.
Au bout du compte, les attaquants obtiennent un accès à distance au terminal de la cible.
Alors que Microsoft n'associe ce groupe à aucun acteur connu et conserve le label DEV-0139 (le label DEV est généralement utilisé pour les acteurs malveillants qui ne sont pas encore liés à des groupes connus), un rapport distinct des experts en renseignement sur les menaces Volexity affirme qu'il s'agit en fait du Lazarus Group, un tristement célèbre groupe de cybercriminels parrainé par l'État nord-coréen, a découvert BleepingComputer.
Apparemment, Lazarus a utilisé un ancien tableur de comparaison des frais de crypto-monnaies, pour infecter ses cibles avec le malware AppleJeus.
- Meilleurs antivirus en ligne : quel service de sécurité basé sur le cloud est le plus fiable ?
- Les meilleurs outils anti-malware : un véritable arsenal pour tous les budgets
- Meilleurs antivirus : quelle solution gratuite, premium ou business choisir ?
- Les meilleures protections contre les ransomwares : quels outils payants ou gratuits choisir ?
Via: BleepingComputer
