Trong loại tấn công tập trung vào tiền điện tử mới nhất, kẻ tấn công có tên DEV-0139 đã nhắm mục tiêu vào các quỹ tiền điện tử giàu có thông qua việc sử dụng các cuộc trò chuyện nhóm Telegram, nhóm Security Intelligence của Microsoft cho biết trong một báo cáo.báo cáo vào thứ Tư.
Phí do các sàn giao dịch tiền điện tử thu đối với các giao dịch là một thách thức lớn đối với các quỹ đầu tư và thương nhân giàu có. Chúng đại diện cho một chi phí và phải được tối ưu hóa để giảm thiểu tác động đến tỷ suất lợi nhuận và lợi nhuận. Giống như nhiều công ty khác trong ngành này, chi phí lớn nhất đến từ các khoản phí do các sàn giao dịch tính.
Kẻ tấn công hoặc nhóm kẻ tấn công đã tận dụng vấn đề cụ thể này để thu hút các mục tiêu quỹ tiền điện tử của chúng.
DEV-0139 đã tham gia một số nhóm Telegram, được sử dụng bởi các khách hàng và sàn giao dịch nổi tiếng để liên lạc, đồng thời xác định mục tiêu của họ trong số các thành viên trong nhóm. Dữ liệu từ báo cáo của Microsoft cho thấy các sàn giao dịch OKX, Huobi và Binance đã được nhắm mục tiêu.
Trong vai một nhân viên của sàn giao dịch, DEV-0139 đã mời mục tiêu vào một nhóm trò chuyện khác và giả vờ yêu cầu phản hồi về cấu trúc phí được sử dụng bởi các sàn giao dịch. Sau đó, họ bắt đầu một cuộc trò chuyện để lấy lòng tin của mục tiêu – sử dụng kiến thức về ngành và sự sẵn sàng của họ để thu hút nạn nhân dần dần.
DEV-0139 sau đó đã gửi một tệp Excel được vũ khí hóa chứa dữ liệu chính xác về cấu trúc phí giữa các công ty trao đổi tiền điện tử, với mục tiêu tăng độ tin cậy của họ.
Tệp Excel đã bắt đầu một loạt hoạt động, bao gồm sử dụng chương trình độc hại để truy xuất dữ liệu và thả một trang tính Excel khác. Sau đó, trang tính này được thực thi ở chế độ ẩn và được sử dụng để tải xuống tệp ảnh chứa ba tệp thực thi: tệp Windows hợp pháp, phiên bản độc hại của tệp DLL và cửa hậu được mã hóa XOR.
DLL là một thư viện chứa mã và dữ liệu có thể được sử dụng bởi nhiều chương trình cùng một lúc. Mặt khác, XOR là một phương pháp mã hóa được sử dụng để mã hóa dữ liệu và khó bị bẻ khóa bằng phương pháp brute-force.
Sau đó, tác nhân đe dọa có thể truy cập từ xa vào hệ thống bị nhiễm thông qua việc sử dụng cửa hậu.
Microsoft cho biết DEV-0139 cũng có thể đã chạy các chiến dịch khác bằng các kỹ thuật tương tự.