В отчете команды по безопасности Microsoft сообщается, что известный как DEV-0139 хакер нацелился на криптоактивы с помощью групповых чатов Telegram.
Взимаемые криптобиржами с транзакций комиссии являются большой проблемой для инвестиционных фондов и богатых трейдеров. Они представляют собой затраты и должны быть оптимизированы, чтобы свести к минимуму влияние на маржу и прибыль. Как и многие другие компании в этой отрасли, самые большие расходы связаны с комиссиями, взимаемыми биржами. Хакер извлек выгоду из этой конкретной проблемы.
DEV-0139 присоединился к нескольким Telegram-группам, которые используются для общения крупными клиентами и биржами, и определил свою цель среди членов группы. Как показывают данные отчета Microsoft, мишенями были биржи OKX, Huobi и Binance.
Выдавая себя за сотрудника биржи, DEV-0139 приглашал жертву в другую чат-группу и просил оставить отзыв о структурах комиссий, используемых биржами. Затем начинался диалог, чтобы завоевать доверие жертвы. DEV-0139 отправлял файл Excel, содержащий точные данные о структурах комиссий между криптокомпаниями с целью повышения доверия.
Файл Excel инициировал ряд действий, в том числе использование вредоносной программы для извлечения данных и запуска другой страницы Excel. Затем эта страница выполнялась в невидимом режиме и использовалась для загрузки файла изображения, содержащего три исполняемых файла: легитимный файл Windows, вредоносную версию DLL-файла и бэкдор с кодировкой XOR.
После этого хакер получал удаленный доступ к зараженной системе с помощью бэкдора. Microsoft заявила, что DEV-0139, возможно, также запускал другие кампании с использованием аналогичных методов.
Источник
Уникальность 100%