يستهدف المهاجم أموال التشفير الثرية باستخدام محادثات Telegram

في أحدث نوع من الهجمات التي تركز على التشفير ، استهدف مهاجم يعرف باسم DEV-0139 أموالًا غنية بالعملات المشفرة من خلال استخدام محادثات مجموعة Telegram ، وفقًا لما قاله فريق Microsoft Security Intelligence فيأبلغ عن يوم الاربعاء.

تمثل الرسوم التي تفرضها بورصات العملات المشفرة على المعاملات تحديًا كبيرًا لصناديق الاستثمار والمتداولين الأثرياء. إنها تمثل تكلفة ويجب تحسينها لتقليل التأثير على الهوامش والأرباح. مثل العديد من الشركات الأخرى في هذه الصناعة ، تأتي أكبر التكاليف من الرسوم التي تفرضها البورصات.

استفاد المهاجم أو مجموعة المهاجمين من هذه المشكلة المحددة لجذب أهداف أموالهم المشفرة.

انضم DEV-0139 إلى العديد من مجموعات Telegram ، التي يستخدمها العملاء البارزون وعمليات التبادل للتواصل ، وحدد هدفهم من بين أعضاء المجموعة. تم استهداف تبادلات OKX و Huobi و Binance ، وفقًا لما تظهره بيانات تقرير Microsoft.

بصفته موظف تبادل ، دعا DEV-0139 الهدف إلى مجموعة دردشة مختلفة وتظاهر بطلب التعليقات على هياكل الرسوم المستخدمة من قبل التبادلات. ثم بدأوا محادثة لكسب ثقة الهدف - باستخدام معرفتهم بالصناعة والاستعداد لجذب الضحايا تدريجيًا.

ثم أرسل DEV-0139 ملف Excel مُسلحًا يحتوي على بيانات دقيقة حول هياكل الرسوم بين شركات تبادل العملات المشفرة ، بهدف زيادة مصداقيتها.

بدأ ملف Excel سلسلة من الأنشطة ، بما في ذلك استخدام برنامج ضار لاسترداد البيانات وإسقاط ورقة Excel أخرى. تم تنفيذ هذه الورقة بعد ذلك في الوضع غير المرئي واستخدمت لتنزيل ملف صورة يحتوي على ثلاثة ملفات قابلة للتنفيذ: ملف Windows شرعي ، ونسخة ضارة من ملف DLL ، وباب خلفي مشفر XOR.

مكتبة الارتباط الديناميكي هي مكتبة تحتوي على تعليمات برمجية وبيانات يمكن استخدامها بواسطة أكثر من برنامج واحد في نفس الوقت. من ناحية أخرى ، تعد XOR طريقة تشفير تُستخدم لتشفير البيانات ويصعب اختراقها بطريقة القوة الغاشمة.

بعد ذلك ، تمكن ممثل التهديد من الوصول عن بعد إلى النظام المصاب من خلال استخدام الباب الخلفي.

قالت Microsoft إن DEV-0139 ربما شغلت أيضًا حملات أخرى باستخدام تقنيات مماثلة.