Контакты
Подписка 2023
МЕНЮ
Контакты
Подписка

Злоумышленники грабят VIP-клиентов криптобирж через Telegram-чаты

08/12/22

telehack2-2

Как сообщают исследователи Microsoft, им удалось раскрыть серию кибератак, в ходе которых кластер под идентификатором DEV-0139 использовал Telegram-чаты для проведения кибератак на криптоинвесторов. Об этом пишет Securitylab. 

Атака проходила по следующему сценарию:

  • Злоумышленники присоединяются к чату, который используется для связи между криптобиржами и их VIP-клиентами;
  • Выбрав жертву, хакеры выдают себя за представителей другой криптобиржи и приглашают ее в другой чат;
  • Завоевав доверие цели, киберпреступники отправляют ей вредоносную Excel-таблицу под названием "OKX Binance & Huobi VIP fee comparision.xls" с комиссиями для VIP-клиентов у разных криптовалютных бирж;
  • Как только жертва открывает таблицу и включает макросы, второй лист таблицы загружает и парсит PNG-образ для извлечения вредоносной DLL, бэкдора в шифровке XOR и exe-файла, который потом используется для боковой загрузки DLL;
  • DLL расшифровывается и устанавливает бэкдор, предоставляющий хакерам удаленный доступ к системе жертвы.

Чтобы побудить жертву отключить макросы, злоумышленники защитили основной лист таблицы паролем, который снимается после установки и запуска другого файла, сохраненного в формате base64.

Дальнейшее расследование позволило специалистам обнаружить другой файл – MSI-пакет для фейкового приложения CryptoDashboardV2, с помощью которого злоумышленники тоже могли установить бэкдор в системе жертвы.

Темы:TelegramMicrosoftУгрозыкриптобиржи
Статьи по темеСтатьи по теме

  • Опасные связи
    Популярные мессенджеры оказались под прицелом из-за нарушений конфиденциальности. Можно ли им доверять?

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...