Microsoft: хакери персонально почали полювати на великих власників криптовалюти

Підрозділ безпеки компанії Microsoft у пресрелізі, опублікованому на сайті компанії, розкрив кібератаку, спрямовану на криптовалютні стартапи. Хакери завойовували довіру користувачів через чат у Telegram і надсилали Excel-файл під назвою «OKX Binance and Huobi VIP fee comparison. xls» — він містив шкідливий код, здатний віддалено отримати доступ до системи жертви.

Група розвідки кіберзагроз Security відстежила виконавця злому за ніком DEV-0139. Хакеру вдалося проникнути у групові чати у Telegram, маскуючись під представника криптоінвестиційної компанії. Він імітував обговорення торгових комісій з VIP-клієнтами великих бірж. Ціль шкідливого коду полягала в тому, щоб обманом змусити криптоінвестиційні фонди завантажити файл Excel.

Файл містив точну інформацію про структуру комісій найбільших криптовалютних бірж. З іншого боку, він мав у собі шкідливий макрос, який запускає інший аркуш Excel у фоновому режимі. Таким чином, зловмисник отримував віддалений доступ до зараженої системи жертви.

«…зловмисник має широкі знання про індустрію криптовалют і проблеми, з якими може зіткнутися цільова компанія. Він ставив запитання про комісійні структури, тобто комісії, які використовуються платформами криптовалютного обміну для торгівлі. Як і в багатьох інших компаній у цій галузі, найбільші витрати походять від комісій, які стягують біржі. Це дуже конкретна тема, яка демонструє, наскільки хакер обізнаний і добре підготовлений перед тим, як напасти на свою ціль» — повідомляють у своєму пресрелізі Microsoft.

Хоча Microsoft і не назвала ніяких конкретних підозрюваних, компанія з кібербезпеки Volexity також опублікувала свої висновки про атаку, зв’язавши її з північнокорейською хакерською групою Lazarus. За даними аналітиків, зловмисники lazarus Group використовують аналогічні шкідливі електронні таблиці порівняння комісійних зборів криптобірж для поширення шкідливої програми AppleJeus. Саме цю програму вони використовували в операціях із крадіжки цифрових активів.

Найвідоміше хакерське угруповування також підозрюється у допомозі уряду Північної Кореї у розробці зброї масового знищення — подейкують, що левова частка фінансування ядерної програми якраз складає крадена криптовалюта. До того ж Lazarus звинуватили у хакерських атаках на ізраїльську та японські криптобіржі.