Microsoft-en segurtasun dibisioa, batean Prentsa-oharra atzo, abenduak 6, kriptografia-moneta abiarazteei zuzendutako eraso bat aurkitu zuen. Telegram txataren bidez konfiantza lortu zuten eta "OKX Binance and Huobi VIP fee comparison.xls" izeneko Excel bat bidali zuten, biktimaren sistema urrunetik sar zitekeen kode gaiztoa zuena.
Segurtasun-mehatxuen adimen taldeak mehatxu-aktorearen jarraipena egin du DEV-0139 gisa. Hackerrak Telegram-en, mezularitza aplikazioan, txat-taldeetan sartu ahal izan zen, kriptografia inbertsio-enpresa baten ordezkari gisa mozorrotuta eta truke nagusietako bezero VIPekin merkataritza-kuotak eztabaidatzeko itxurak eginez.
Helburua kriptografiako inbertsio funtsak Excel fitxategi bat deskargatzeko engainatzea zen. Fitxategi honek kriptomoneta truke nagusien kuoten egiturei buruzko informazio zehatza dauka. Bestalde, atzeko planoan beste Excel orri bat exekutatzen duen makro gaizto bat du. Honekin, aktore txar honek biktimaren kutsatutako sistemarako urrutiko sarbidea lortzen du.
Microsoft azaldu zuen: "Excel fitxategiko orri nagusia pasahitz dragoiarekin babestuta dago helburua makroak gaitzera bultzatzeko". Gaineratu zuten: "Orria babestu gabe dago Base64-n gordetako beste Excel fitxategia instalatu eta exekutatu ondoren. Litekeena da hori erabiltzailea engainatzeko makroak gaitzeko eta susmorik ez sortzeko".
Txostenen arabera, abuztuan, cryptocurrency meatzaritza malwarearen kanpainak 111,000 erabiltzaile baino gehiago kutsatu zituen.
Mehatxu adimenak DEV-0139 Ipar Koreako Lazarus mehatxu taldearekin konektatzen du.
Makro maltzurren Excel fitxategiarekin batera, DEV-0139-k karga erabilgarria ere eman zuen trikimailu honen zati gisa. Hau CryptoDashboardV2 aplikazio baterako MSI paketea da, oztopo bera ordaintzen duena. Horrek hainbat adimenek iradokitzen zuten beste eraso batzuen atzean daudela karga pertsonalizatuak bultzatzeko teknika bera erabiliz.
DEV-0139 aurkitu baino lehen, mehatxuen adimen-talde batzuek DEV-0139-ren funtzionamendua izan zitekeela iradoki zuten antzeko beste phishing-eraso batzuk egon ziren.
Volexity mehatxuen adimen enpresak eraso honi buruzko aurkikuntzak ere kaleratu zituen asteburuan, eta horrekin lotuz Ipar Koreako Lazaro mehatxu taldea.
Volexity-ren arabera, Ipar Koreakoa hacker erabili antzeko kripto-trukearen kuoten konparazio-orri maltzurrak AppleJeus malwarea kentzeko. Hau da kriptomoneta bahiketa eta aktibo digitalak lapurtzeko eragiketetan erabili dutena.
Volexity-k Lazarus ere aurkitu du HaasOnline kripto-merkataritza plataforma automatizaturako webgunearen klon bat erabiliz. Troiako Bloxholder aplikazio bat banatzen dute, QTBitcoinTrader aplikazioan bildutako AppleJeus malwarea zabalduko lukeena.
Lazarus Group Ipar Korean lan egiten duen ziber mehatxu talde bat da. 2009. urteaz geroztik aktibo dago. Ospe handikoa da mundu mailan goi mailako helburuak erasotzeagatik, bankuak, komunikabideen erakundeak eta gobernu-agentziak barne.
Taldea 2014ko Sony Pictures hackearen eta 2017ko WannaCry ransomware erasoaren erantzule dela ere susmatzen da.
Iturria: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/