Microsoft investiga ataques a empresas de inversión cripto vía Telegram
- Una investigación del equipo de Inteligencia de Amenazas de Seguridad de Microsoft dio con el resultado de que a través de grupos de Telegram, diferentes empresas de inversión en criptomonedas han sido atacadas.
- La amenaza, conocida como DEV-0139, se comunicaba con los clientes VIP de las firmas para después enviarles un archivo malicioso y hacerse con el control de sus dispositivos.
- De acuerdo con la empresa de inteligencia de amenazas Volexity, los ataques se han visto relacionados con el grupo de amenazas norcoreano Lazarus
Dentro del campo de las plataformas de mensajería instantánea, WhatsApp y WeChat son los grandes dominadores. Más atrás aparece otro gigante, este es el caso de Telegram. Este, tal como se comentó en otras oportunidades, es muy utilizado dentro del ecosistema de las criptomonedas por su posibilidad de armar grandes grupos o de crear bots. Telegram es utilizado para bien y… para mal.
Una investigación del equipo de Inteligencia de Amenazas de Seguridad de Microsoft dio con el resultado de que a través de grupos de Telegram, diferentes empresas de inversión en criptomonedas han sido atacadas.
Ataque de DEV-0139
La amenaza, conocida como DEV-0139, se comunicaba con los clientes VIP de las firmas, publicó el sitio Bleeping Computer.
"DEV-0139 se unió a grupos de Telegram utilizados para facilitar la comunicación entre clientes VIP y plataformas de intercambio de criptomonedas e identificó a su objetivo entre los miembros", resaltó el equipo especializado de Microsoft.
El ataque registrado fue el pasado miércoles 19 de octubre y los hackers, haciéndose pasar por representantes de otras empresas de gestión de criptomonedas, lograron que una persona opine sobre “la estructura de tarifas de las plataformas de intercambio de criptomonedas”.
Luego de varios intercambios de mensajes y de ganarse la confianza del posteriormente damnificado, los hackers enviaron hojas de cálculo de Excel denominadas “OKX Binance & Huobi VIP fee comparision.xls". Estas poseían comparaciones de datos de tres de los exchanges más importantes del mundo.
Una vez que la víctima accedió al documento, los hackers lograron lo que buscaban: se descargó una segunda hoja de cálculo y analizó un archivo PNG para “extraer una DLL maliciosa, una puerta trasera codificada con XOR y un ejecutable legítimo de Windows utilizado posteriormente para cargar la DLL”. Según los expertos, “la DLL se descifrará cargará el backdoor, proporcionando a los atacantes acceso remoto al sistema comprometido de la víctima”.
Microsoft, por su parte, también dio algunas explicaciones sobre este caso reciente.
“La hoja principal del archivo Excel se protege con el dragón de contraseñas para animar al objetivo a activar las macros. La hoja queda entonces desprotegida tras instalar y ejecutar el otro archivo Excel almacenado en Base64. Es probable que esto se utilice para engañar al usuario para que habilite las macros y no levante sospechas", reconocieron.
¿Quiénes están detrás de este sutil e inteligente atacante? Microsoft no precisó en esto, aunque sí lo ha hecho la empresa de inteligencia de amenazas Volexity, que también trabajó en este punto. Encuentran relación con el grupo de amenazas norcoreano Lazarus
Estos hackers norcoreanos, que operan al menos desde 2009, son los responsables de ataques muy sonados como fue el caso del pirateo a Sony Pictures en 2014 y así también el caso de ransomware WannaCry en 2017. Sus ataques están dirigidos a empresas o gobiernos de alto perfil y no se concentran en individuos particulares.
Volexity sustenta su idea de que Lazarus es el responsable porque aseguran que el método utilizado se relacionado con el que uso el grupo en el paso: el malware AppleJeus también utilizó una hoja de cálculo maliciosa.
Te podría interesar: