微软发现针对加密初创公司的攻击

https://coincodecap.com/microsoft-uncovered-an-attack-targeting-crypto-startups

微软声称，它监控的一个名为 DEV-0139 的威胁组织打算通过用于连接其 VIP 客户的 Telegram 渠道瞄准加密货币投资公司。

昨天，也就是 12 月 6 日，微软的安全部门发现了针对加密货币初创公司的入侵。新闻稿 .通过 Telegram 聊天，他们获得了信任并发送了一个 Excel 文档，主题为“OKX Binance 和 Huobi VIP 费用比较.xls”，该文档带有恶意软件代码，使他们能够快速监控受害者的计算机。

第二个工作表将下载和解码一个 PNG 文件以检索恶意 DLL、一个 XOR 编码的后门和一个真正的 Windows 编译代码，一旦用户试图打开文档并使用宏，这些代码随后将被用来侧载 DLL。

这家科技巨头认为，加密货币大规模采用的一个屏障是这类漏洞的普遍存在，这些漏洞通常是由勒索软件引起的。 Microsoft 认为以下因素更令人担忧：黑客正在改进其特定的欺骗形式。

威胁情报公司 Volexity 也在周末发布了自己对这次入侵的观察，将其与朝鲜的 Lazarus 威胁组织联系起来，尽管微软并未明确将这次攻击与特定团体或组织联系起来，而是选择连接它到 DEV-0139 威胁操作分组。

众所周知，来自朝鲜的拉撒路 (Lazarus) 是目前几起动摇 web3 空间的加密黑客背后的大脑。日本警察厅 (NPA) 和金融厅 (FSA) 在最近的公开场合向加密货币公司发出警告咨询声明 ，建议他们提防 Lazarus Group 发起的“网络钓鱼”攻击。

作为这种欺诈的一部分，DEV-0139 除了邪恶的宏 Excel 文件外，还传递了一个有效负载。这个 MSI 包安装了与 CryptoDashboardV2 应用程序完全相同的干扰。这导致许多情报机构推测他们也可能对采用相同方法推送独特有效载荷的其他威胁负责。

在最近发现 DEV-0139 之前，还有其他类似的恶意软件攻击，一些威胁情报团队假设这些攻击可能是 DEV-0139 在起作用。

具有讽刺意味的是，Telegram 正在尽一切努力在 Web 4 空间中建立强大的影响力，尽管加密货币欺诈者经常使用 Telegram 机器人来欺骗用户并将他们引导至有害网站。

即时通讯应用 Telegram 的创始人 Pavel Durov，透露的计划上周公司推出去中心化加密货币产品，包括加密货币交易所和非托管钱包。