Es wurde beobachtet, dass Bedrohungsakteure es auf Unternehmen abgesehen haben, die in der Kryptowährungsbranche tätig sind, um finanziellen Gewinn zu erzielen.
Laut einem neuen Advisory, das Microsoft am Dienstag veröffentlicht hat, haben Angriffe auf diesen Markt in den letzten Monaten verschiedene Formen angenommen, darunter Betrug, Ausnutzung von Schwachstellen, gefälschte Anwendungen und der Einsatz von Info-Stealern.
„Wir beobachten auch komplexere Angriffe, bei denen der Bedrohungsakteur großes Wissen und Vorbereitung zeigt und Schritte unternimmt, um das Vertrauen des Ziels zu gewinnen, bevor er die Nutzlast einsetzt“, schrieb der Tech-Riese.
Einer der von Microsoft beobachteten Bedrohungsakteure, die in dieser Branche tätig sind, ist DEV-0139, der Telegram-Gruppen nutzte, um die Kommunikation zwischen VIP-Kunden und Kryptowährungsbörsen zu erleichtern und so sein Ziel unter den Mitgliedern zu identifizieren.
„Der Bedrohungsakteur gab sich als Vertreter einer anderen Kryptowährungs-Investmentfirma aus und lud die Zielperson im Oktober 2022 in eine andere Chatgruppe ein und gab vor, sie um Feedback zur Gebührenstruktur von Kryptowährungsaustauschplattformen zu bitten“, erklärte Microsoft.
„Der Bedrohungsakteur verfügte über ein breiteres Wissen über diesen spezifischen Teil der Branche, was darauf hindeutet, dass er gut vorbereitet war und sich der aktuellen Herausforderung bewusst war, die die Zielunternehmen möglicherweise haben.“
Nach der ersten Kontaktaufnahme mit potenziellen Opfern schickte DEV-0139 eine waffenfähige Excel-Datei, die Tabellen über die Gebührenstrukturen von Kryptowährungsaustauschunternehmen enthielt.
Microsoft suggerierte, dass die Daten in dem Dokument möglicherweise korrekt seien, um ihre Glaubwürdigkeit zu erhöhen, aber sobald die bösartige Datei ausgeführt wurde, infizierte sie den Computer des Opfers, erreichte Persistenz und installierte eine Hintertür für späteren Fernzugriff.
„Eine weitere Untersuchung durch unsere Telemetrie führte zur Entdeckung einer weiteren Datei, die dieselbe DLL verwendet. [dynamic link library] Proxying-Technik verwendet. Aber statt einer bösartigen Excel-Datei wird sie in einer MSI-Datei geliefert [Microsoft installer] Paket geliefert“, schreibt Microsoft. „Dies könnte darauf hindeuten, dass andere verwandte Kampagnen von demselben Bedrohungsakteur mit denselben Techniken durchgeführt werden.
Um sich gegen diese Art von Angriffen zu schützen, hat das Unternehmen neben anderen Sicherheitshinweisen eine Liste von Kompromissindikatoren (Indicators of Compromise, IoC) in seine Empfehlung aufgenommen.
Die Informationen über die neuen Bedrohungen kommen Wochen, nachdem die dezentrale Finanzplattform (DeFi) Moola Market einen Sicherheitsvorfall erlitt, der zu einem Verlust von bis zu 9 Millionen Dollar in Kryptowährung führte.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com