VIP-Kunden von Kryptowährungsbörsen, insbesondere Kryptowährungs-Investmentgesellschaften, sind Ziel eines hochentwickelten Phishing-Angriffs geworden, warnt Microsoft.
In einem kürzlich erschienenen Bericht sagte Microsoft, es habe einen unbekannten Bedrohungsakteur mit der Bezeichnung DEV-0139 beobachtet, der sich in Telegram-Gruppen bewegte, „die verwendet werden, um die Kommunikation zwischen VIP-Clients und Plattformen für den Austausch von Kryptowährungen zu erleichtern“.
Nach der Identifizierung potenzieller Opfer würde sich die Gruppe dann an diese Benutzer wenden, indem sie die Identität eines Peers – einer anderen Kryptowährungs-Investmentgesellschaft – annehmen und um Feedback zur Gebührenstruktur bitten, die verschiedene Kryptowährungs-Austauschplattformen verwenden. Ein solcher Vorfall wurde am 19. Oktober 2022 beobachtet.
Angreifer wissen Bescheid
Laut Microsoft hat die Gruppe ein „breiteres Wissen“ über diesen Teil der Branche, was darauf hindeutet, dass die Gebührenstruktur, die sie mit den Opfern teilt, wahrscheinlich korrekt ist. Die Struktur selbst wurde in einer Microsoft-Excel-Datei dargestellt, und dann beginnt der eigentliche Ärger.
Die Datei mit dem Titel „OKX Binance & Huobi VIP-Gebührenvergleich.xls“ ist mit einem „Passwort-Drachen“ geschützt, was bedeutet, dass das Opfer Makros aktivieren muss, um den Inhalt anzuzeigen.
Das Aktivieren von Makros ermöglicht auch eine ganze Menge Ärger: Die Datei hat eine zweite, eingebettete Tabelle, die eine PNG-Datei herunterlädt und parst, die eine bösartige DLL, eine XOR-codierte Hintertür und eine saubere ausführbare Windows-Datei extrahiert, die später verwendet werden würde um die bösartige DLL von der Seite zu laden.
Schließlich erhalten die Angreifer Fernzugriff auf den Endpunkt des Ziels .
Während Microsoft diese Gruppe mit keinem bekannten Bedrohungsakteur verknüpft und das Label DEV-0139 behält (das DEV-Label wird normalerweise für Bedrohungsakteure verwendet, die noch keiner bekannten Gruppe zugeordnet sind), behauptet ein separater Bericht von Threat Intelligence-Experten Volexity, dass dies der Fall ist. Tatsächlich hat BleepingComputer die Lazarus Group, einen berüchtigten, vom nordkoreanischen Staat geförderten Bedrohungsakteur, gefunden.
Anscheinend hat Lazarus in der Vergangenheit die Vergleichstabelle für Kryptowährungsgebühren verwendet, um seine Ziele mit der AppleJeus-Malware zu infizieren.