زومیت: تیم امنیتی مایکروسافت اعلام کرده است که هکری ازطریق تلگرام فایل اکسلی برای تریدرهای صنعت کریپتو ارسال کرده که حاوی کد مخرب است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، براساس بیانیه هشداردهنده
مایکروسافت، هکری با نام DEV-0139 با بهرهگیری از گروههای چت تلگرام تریدرهای ثروتمند را هدف قرار داده است. این جدیدترین نمونه
حملات هکری با تمرکز بر صنعت کریپتو محسوب میشود.
کارمزدهایی که صرافیهای کریپتو برای هر تراکنش دریافت میکنند، مسئله بزرگی برای صندوقهای سرمایهگذاری و تریدرهای ثروتمند محسوب میشوند. این کارمزدها هزینه روی دست تریدرها میگذارند و برای کاهش اثرگذاری آنها روی سود، باید بهینه شوند. هکر یا گروهی از هکرها با تمرکز روی این مسئله، تلاش کردهاند توجه قربانیان را جلب کنند.
DEV-0139 در چند گروه تلگرامی که مشتریان ثروتمند و نمایندگان برخی از صرافیهای شناختهشده
صنعت کریپتو در آن حضور داشتند، عضو شد تا با آنها ارتباط برقرار کند. DEV-0139 اهدافش را از بین اعضای این گروهها انتخاب کرد. مایکروسافت میگوید صرافیهای OKX و Huobi و بایننس هدف قرار گرفتهاند. مدیرعامل صرافی
بایننس در توییتی به این ماجرا واکنش نشان داده است.
هکر خودش را بهعنوان کارمند صرافی جا زد و قربانی را به عضویت در گروه تلگرامی دیگری دعوت کرد و مدعی شد که درباره ساختار سیستم کارمزد صرافیهای مختلف بازخورد میخواهد. هکر سپس از روی دانشش درباره صنعت کریپتو مکالمهای با قربانی ترتیب داد تا اعتماد او را جلب کند. DEV-0139 فایل اکسلی به نام exchange fee comparision.xls را برای قربانی فرستاد که حاوی اطلاعاتی دقیق دربارهی ساختار کارمزد صرافیهای کریپتو بود تا از این طریق اعتبارش را پیش قربانی افزایش دهد.
فایل اکسل یادشده بهصورت مخفیانه فعالیتهایی انجام میداد؛ ازجمله استفاده از برنامهای مخرب بهمنظور بازیابی دادهها و ایجاد صفحه اکسل دیگر. صفحهی دوم در حالت نامرئی اجرا میشد و فایلی تصویری دانلود میکرد که از سه فایل اجرایی تشکیل شده بود: یک فایل رسمی ویندوز و نسخهی مخرب یک فایل DLL و یک بکدور انکدشدهی XOR.
فایل DLL کتابخانهای حاوی کد و دادههایی است که بیش از یک اپلیکیشن میتوانند بهطورهمزمان از آنها استفاده کنند. همچنین، XOR راهکاری برای رمزنگاری است که از آن برای ایمنکردن دادهها استفاده میشود و کرککردنش ازطریق روش بروتفورس دشوار است. مایکروسافت در بیانیهاش میگوید که احتمالاً DEV-0139 حملات دیگری با تکنیکهای مشابه انجام داده است.