المتسللون يستخدمون Telegram لاستهداف شركات التشفير

تحذر Microsoft من أن العملاء المهمين لبورصات العملات المشفرة، وخاصة شركات الاستثمار في العملات المشفرة، أصبحوا أهدافًا لهجوم تصيد احتيالي متطور للغاية.

في تقرير حديث، قالت Microsoft إنها لاحظت وجود تهديد غير معروف، يُسمى DEV-0139، ينتقل إلى مجموعات Telegram "المستخدمة لتسهيل الاتصال بين عملاء VIP ومنصات تبادل العملات المشفرة".

بعد تحديد الضحايا المحتملين، ستقوم المجموعة بعد ذلك بالاتصال بهؤلاء المستخدمين، بافتراض هوية أحد الأقران - شركة استثمار عملة مشفرة أخرى - وطلب التعليقات حول هيكل الرسوم الذي تستخدمه منصات تبادل العملات المشفرة المختلفة. لوحظ أحد هذه الحوادث في أكتوبر 19 2022.

 
المهاجمون على دراية
وفقًا لمايكروسوفت، تمتلك المجموعة "معرفة أوسع" بهذا الجزء من الصناعة، مما يشير إلى أن هيكل الرسوم الذي تشاركه مع الضحايا ربما يكون دقيقًا. تم تقديم الهيكل نفسه في ملف Microsoft Excel، وعندها تبدأ المشكلة الحقيقية.

الملف، المسمى "OKX Binance & Huobi VIP fee Comparision.xls"، محمي بـ "password dragon" مما يعني أن الضحية يحتاج إلى تمكين وحدات الماكرو لعرض المحتويات.

يؤدي تمكين وحدات الماكرو أيضًا إلى تمكين عبء كامل من المتاعب: يحتوي الملف على جدول بيانات ثانٍ مضمن، والذي يقوم بتنزيل ملف PNG ويوزعه، والذي يستخرج DLL ضار، وباب خلفي مرمز بـ XOR، وملف Windows نظيف قابل للتنفيذ سيتم استخدامه لاحقًا لتحميل ملف DLL الخبيث.

بعد قول وفعل كل شيء، ينتهي الأمر بالمهاجمين بالوصول عن بُعد إلى نقطة نهاية الهدف.

بينما لا تربط Microsoft هذه المجموعة بأي ممثل تهديد معروف وتحتفظ بالعلامة DEV-0139 (تُستخدم تسمية DEV عادةً لممثلي التهديد غير المرتبطين بعد بأي مجموعات معروفة)، يزعم تقرير منفصل من خبراء استخبارات التهديدات Volexity أن هذا، هو الواقع. وجدت Lazarus Group، ممثل تهديد سيئ السمعة ترعاه الدولة في كوريا الشمالية.

على ما يبدو، استخدم Lazarus جدول بيانات مقارنة رسوم العملات المشفرة في الماضي لإصابة أهدافه ببرنامج AppleJeus الضار.