Des pirates utilisent Telegram pour cibler les entreprises qui investissent dans la crypto-monnaie

Une illustration de Bitcoin avec un graphique de valeur financière
(Crédit photo: eToro)

Les clients VIP des bourses de crypto-monnaies, en particulier les sociétés d'investissement en crypto-monnaies, sont devenus la cible d'une attaque de phishing très sophistiquée, avertit Microsoft.

Dans un rapport récent (s'ouvre dans un nouvel onglet), Microsoft a déclaré avoir observé un "acteur de la menace" inconnu, étiqueté DEV-0139. Il se déplace dans les groupes Telegram "utilisés pour faciliter la communication entre les clients VIP et les plateformes d'échange de crypto-monnaies".

Après avoir identifié des victimes potentielles, le groupe approchait ensuite ces utilisateurs, en prenant l'identité d'un pair - une autre société d'investissement en crypto-monnaies - et leur demandait de commenter la structure tarifaire utilisée par différentes plateformes d'échange de crypto-monnaies. Un incident de ce type a été observé le 19 octobre 2022.

Des attaquants bien informés

Selon Microsoft, le groupe a une "connaissance approfondie" de ce domaine, ce qui suggère que la grille tarifaire qu'il a partagée avec les victimes est probablement exacte. La structure elle-même a été présentée dans un fichier Microsoft Excel, et c'est là que les vrais problèmes commencent.

Le fichier, intitulé "OKX Binance & Huobi VIP fee comparision.xls", est protégé par un " mot de passe dragon ", ce qui signifie que la victime doit activer les macros afin de visualiser le contenu.

L'activation des macros entraîne alors de nombreux problèmes : le fichier contient une deuxième feuille de calcul intégrée, qui télécharge et analyse un fichier PNG, lequel extrait une DLL malveillante, une porte dérobée codée XOR et un fichier exécutable Windows propre qui sera utilisé ultérieurement pour charger la DLL malveillante.

Au bout du compte, les attaquants obtiennent un accès à distance au terminal de la cible.

Alors que Microsoft n'associe ce groupe à aucun acteur connu et conserve le label DEV-0139 (le label DEV est généralement utilisé pour les acteurs malveillants qui ne sont pas encore liés à des groupes connus), un rapport distinct des experts en renseignement sur les menaces Volexity affirme qu'il s'agit en fait du Lazarus Group, un tristement célèbre groupe de cybercriminels parrainé par l'État nord-coréen, a découvert BleepingComputer.

Apparemment, Lazarus a utilisé un ancien tableur de comparaison des frais de crypto-monnaies, pour infecter ses cibles avec le malware AppleJeus.

Via: BleepingComputer (s'ouvre dans un nouvel onglet)

Sead Fadilpašić

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.