Les sociétés d’investissement en crypto-monnaie sont la cible d’un cluster de menaces en développement qui utilise des groupes Telegram pour rechercher des victimes potentielles.

Le Security Threat Intelligence Center (MSTIC) de Microsoft suit l’activité sous le nom de DEV-0139 et s’appuie sur un récent rapport de Volexity qui attribue le même ensemble d’attaques au groupe nord-coréen Lazarus.

« DEV-0139 a rejoint les groupes Telegram utilisés pour faciliter la communication entre les clients VIP et les plateformes d’échange de crypto-monnaie et a identifié leur cible parmi les membres », a déclaré le géant de la technologie.

L’adversaire s’est ensuite fait passer pour une autre société d’investissement en crypto-monnaie et a invité la victime à rejoindre un autre groupe de discussion Telegram sous prétexte de demander des commentaires sur la structure des frais de négociation utilisée par les plateformes d’échange à travers les niveaux VIP.

Il convient de souligner que le programme VIP est conçu pour récompenser les commerçants à volume élevé avec des incitations exclusives sur les frais de négociation et des remises basées sur l’activité des 30 derniers jours.

Cette chaîne d’attaques concorde notamment avec l’analyse de Volexity d’une campagne d’octobre 2022, dans laquelle l’acteur de la menace est passé de l’utilisation de fichiers d’installation MSI à un document Microsoft Excel militarisé affichant les supposés taux de pièces de crypto-monnaie.

Microsoft a décrit le document comme contenant des données probablement précises pour augmenter les chances de succès de la campagne, suggérant que DEV-0139 connaît bien le fonctionnement interne de l’industrie de la cryptographie.

Le fichier Excel contenant des logiciels malveillants, pour sa part, est chargé d’exécuter une macro malveillante qui est utilisée pour déposer et exécuter furtivement une deuxième feuille de calcul Excel, qui, à son tour, comprend une macro qui télécharge un fichier image PNG hébergé sur OpenDrive.

Ce fichier image contient trois exécutables, chacun étant utilisé pour lancer la charge utile de l’étape suivante, ouvrant finalement la voie à une porte dérobée qui permet à l’auteur de la menace d’accéder à distance au système infecté.

De plus, la feuille de calcul de la structure des frais est protégée par un mot de passe dans le but de convaincre la cible d’activer les macros, déclenchant ainsi les actions malveillantes. Une analyse des métadonnées du fichier montre qu’il a été créé le 14 octobre 2022 par un utilisateur nommé Wolf.

DEV-0139 a également été lié à une séquence d’attaque alternative dans laquelle un package MSI pour une fausse application nommée « CryptoDashboardV2 » est livré à la place d’un document Excel malveillant pour déployer le même implant.

La porte dérobée permet principalement un accès à distance à l’hôte en collectant des informations à partir du système ciblé et en se connectant à un serveur de commande et de contrôle (C2) pour recevoir des commandes supplémentaires.

« Le marché de la crypto-monnaie reste un domaine d’intérêt pour les acteurs de la menace », a déclaré Microsoft. « Les utilisateurs ciblés sont identifiés via des canaux de confiance pour augmenter les chances de succès. »

Ces dernières années, Telegram a non seulement été largement adopté dans l’industrie de la crypto-monnaie, mais a également été coopté par des acteurs de la menace cherchant à discuter des vulnérabilités du jour zéro, à proposer des données volées et à commercialiser leurs services via la plate-forme de messagerie populaire.

« Les utilisateurs perdant confiance dans l’anonymat offert par les forums, les marchés illicites se tournent de plus en plus vers Telegram », a révélé Positive Technologies dans une nouvelle étude portant sur 323 chaînes et groupes publics de Telegram comptant plus d’un million d’abonnés au total.

« Le nombre de cyberattaques uniques ne cesse de croître, et le marché des services cybercriminels se développe et se déplace vers les médias sociaux et les applications de messagerie ordinaires, abaissant ainsi considérablement le seuil d’entrée des cybercriminels. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *