Microsoft Menemukan Serangan yang Menargetkan Startup Crypto

https://coincodecap.com/microsoft-uncovered-an-attack-targeting-crypto-startups

Microsoft mengklaim bahwa kelompok ancaman yang dipantaunya sebagai DEV-0139 bermaksud menargetkan perusahaan investasi cryptocurrency melalui saluran Telegram yang digunakan untuk terhubung dengan klien VIP mereka.

Segmen keamanan Microsoft menemukan invasi kemarin, 6 Desember, yang ditujukan untuk perusahaan startup cryptocurrency, menurut ajumpa pers . Melalui obrolan Telegram, mereka mendapatkan kepercayaan dan mengirimkan dokumen Excel dengan subjek “OKX Binance dan perbandingan biaya VIP Huobi.xls” yang berisi kode perangkat lunak berbahaya yang memungkinkan mereka memantau komputer korban dengan cepat.

Lembar kerja kedua akan mengunduh dan mendekode file PNG untuk mengambil DLL berbahaya, pintu belakang yang dikodekan XOR, dan kode kompilasi Windows asli yang selanjutnya akan digunakan untuk melakukan sideload DLL setelah orang tersebut mencoba membuka dokumen dan memfasilitasi makro.

Raksasa teknologi itu mengidentifikasi perisai untuk adopsi massal cryptocurrency sebagai kerentanan jenis ini di mana-mana, yang umumnya disebabkan oleh ransomware. Microsoft menganggap faktor berikut ini lebih mengkhawatirkan: peretas meningkatkan bentuk penipuan khusus mereka.

Perusahaan intelijen ancaman Volexity juga memposting pengamatannya sendiri tentang invasi ini selama akhir pekan, menghubungkannya dengan kelompok ancaman Lazarus Korea Utara, terlepas dari kenyataan bahwa Microsoft tidak secara khusus menghubungkan serangan ini dengan kelompok atau organisasi tertentu dan malah memilih untuk terhubung ke pengelompokan operasi ancaman DEV-0139.

Lazarus dari Korea Utara terkenal sebagai otak di balik beberapa peretasan crypto saat ini yang mengguncang ruang web3. Badan Polisi Nasional Jepang (NPA) dan Badan Layanan Keuangan (FSA) mengeluarkan peringatan kepada perusahaan cryptocurrency di publik terbaru merekapernyataan penasehat , menasihati mereka untuk waspada terhadap serangan "phishing" oleh Grup Lazarus.

Sebagai bagian dari penipuan ini, DEV-0139 juga menyerahkan muatan selain file makro Excel yang jahat. Paket MSI ini menginstal obtrusi yang sama dengan aplikasi CryptoDashboardV2. Hal ini membuat banyak badan intelijen berspekulasi bahwa mereka mungkin juga bertanggung jawab atas ancaman lain yang menggunakan metode yang sama untuk mendorong muatan unik.

Sebelum DEV-0139 baru-baru ini ditemukan, ada serangan malware lain yang sebanding yang menurut hipotesis beberapa tim intelijen ancaman mungkin adalah DEV-0139 yang sedang beraksi.

Ironisnya, Telegram melakukan segala upaya untuk membangun kehadiran yang kuat di ruang web 4, meskipun penipu kripto sering menggunakan bot Telegram untuk menipu pengguna dan mengarahkan mereka ke situs web berbahaya.

Pendiri aplikasi perpesanan Telegram, Pavel Durov,mengungkapkan rencanauntuk peluncuran produk cryptocurrency terdesentralisasi di perusahaan minggu lalu, termasuk pertukaran crypto dan dompet non-penahanan.