كشفت Microsoft عن هجوم يستهدف عمليات التشفير الناشئة

https://coincodecap.com/microsoft-uncovered-an-attack-targeting-crypto-startups

تدعي Microsoft أن مجموعة التهديدات التي تراقبها باسم DEV-0139 تهدف إلى استهداف شركات الاستثمار في العملات المشفرة من خلال قنوات Telegram المستخدمة للتواصل مع عملائها من كبار الشخصيات.

اكتشف قطاع الأمان في Microsoft غزوًا يوم أمس ، 6 ديسمبر ، كان يستهدف الشركات الناشئة في مجال العملات المشفرة ، وفقًا لـ أخبر صحفى . من خلال دردشة Telegram ، اكتسبوا الثقة وأرسلوا مستند Excel مع موضوع "OKX Binance و Huobi VIP مقارنة رسوم xls" والذي تم ربطه بشفرة البرامج الضارة التي سمحت لهم بمراقبة كمبيوتر الضحية بسرعة.

ستقوم ورقة العمل الثانية بتنزيل ملف PNG وفك تشفيره لاسترداد ملف DLL ضار ، وباب خلفي مرمز بـ XOR ، ورمز أصلي مُجمَّع من Windows سيتم استخدامه لاحقًا لتحميل DLL الجانبي بمجرد محاولة الشخص فتح المستند وتسهيل وحدات الماكرو.

حددت شركة التكنولوجيا العملاقة درعًا للاعتماد الجماعي للعملات المشفرة على أنها انتشار هذه الأنواع من نقاط الضعف ، والتي تنتج بشكل عام عن برامج الفدية. تعتبر Microsoft العامل التالي أكثر إثارة للقلق: يتحسن المتسللون في أشكالهم الخاصة من الخداع.

نشرت شركة استخبارات التهديدات Volexity أيضًا ملاحظاتها الخاصة حول هذا الغزو خلال عطلة نهاية الأسبوع ، وربطته بمجموعة تهديد Lazarus الكورية الشمالية ، على الرغم من حقيقة أن Microsoft لم تربط هذا الهجوم على وجه التحديد بمجموعة معينة أو منظمة ، وبدلاً من ذلك اختارت الاتصال إلى مجموعة DEV-0139 لعملية التهديد.

يشتهر Lazarus من كوريا الشمالية بكونه العقل المدبر وراء العديد من عمليات اختراق التشفير الحالية التي هزت مساحة الويب 3. أصدرت وكالة الشرطة الوطنية اليابانية (NPA) ووكالة الخدمات المالية (FSA) تحذيرًا لشركات العملات المشفرة في أحدث إصداراتها العامةبيان استشاري ، ونصحهم بالبحث عن هجمات "التصيد الاحتيالي" من قبل مجموعة Lazarus.

كجزء من هذا الاحتيال ، سلم DEV-0139 أيضًا حمولة بالإضافة إلى ملف Excel الماكرو الشائن. تقوم حزمة MSI هذه بتثبيت نفس التدخل مثل تطبيق CryptoDashboardV2. أدى هذا إلى تكهن العديد من وكالات الاستخبارات بأنها قد تكون مسؤولة أيضًا عن التهديدات الأخرى التي استخدمت نفس الطريقة لدفع حمولات فريدة.

قبل اكتشاف DEV-0139 مؤخرًا ، كانت هناك هجمات برامج ضارة أخرى قابلة للمقارنة والتي افترضت بعض فرق استخبارات التهديدات أنها ربما تكون DEV-0139 قيد التشغيل.

ومن المفارقات أن Telegram تبذل قصارى جهدها لتأسيس وجود قوي في مساحة الويب 4 ، على الرغم من حقيقة أن محتالو التشفير يستخدمون بشكل متكرر روبوتات Telegram لخداع المستخدمين وتوجيههم إلى مواقع الويب الضارة.

مؤسس تطبيق المراسلة Telegram ، بافيل دوروف ،كشفت الخططلإطلاق منتجات العملة المشفرة اللامركزية في الشركة الأسبوع الماضي ، بما في ذلك بورصة العملات المشفرة والمحافظ غير الحافظة.