Microsoft dice que ha identificado una amenaza dirigida a las nuevas empresas de inversión en criptomonedas. Una parte que Microsoft ha llamado DEV-0139 se hizo pasar por una empresa de inversión en criptomonedas en Telegram y usó un archivo de Excel armado con malware «bien diseñado» para infectar los sistemas a los que luego accedió de forma remota.

La amenaza es parte de una tendencia en los ataques que muestran un alto nivel de sofisticación. En este caso, la amenaza, identificándose falsamente con perfiles falsos de empleados de OKX, se unió a grupos de Telegram «usados ​​para facilitar la comunicación entre clientes VIP y plataformas de intercambio de criptomonedas», escribió Microsoft en una publicación de blog del 6 de diciembre. Microsoft explicó:

«Estamos […] ver ataques más sofisticados donde la amenaza muestra un gran conocimiento y preparación al tomar medidas para ganarse la confianza de su objetivo antes de implementar cargas útiles.

En octubre, se invitó al objetivo a unirse a un nuevo grupo y luego se le pidió su opinión sobre un documento de Excel que comparaba las estructuras de tarifas VIP de OKX, Binance y Huobi. El documento proporcionó información precisa y un alto conocimiento de la realidad del comercio de criptomonedas, pero también cargó de manera invisible un archivo .dll (Biblioteca de enlaces dinámicos) malicioso para crear una puerta trasera en el sistema del usuario. Luego se le pidió al objetivo que abriera el archivo .dll durante la discusión sobre los cargos.

La técnica de ataque en sí se conoce desde hace mucho tiempo. Microsoft sugirió que la amenaza era la misma que se encontró usando archivos .dll para propósitos similares en junio, y que probablemente estaba detrás de otros incidentes. Según Microsoft, DEV-0139 es el mismo actor que la firma de seguridad cibernética Volexity vinculó al Grupo Lazarus patrocinado por el estado de Corea del Norte usando una variante del malware conocido como AppleJeus y MSI (un instalador de Microsoft). La Agencia Federal de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos documentó AppleJeus en 2021 y Kaspersky Labs lo informó en 2020.

LEER  La demanda de talento en criptomonedas depende menos del mercado a medida que la industria madura

Relacionado: El grupo norcoreano Lazarus supuestamente está detrás del hackeo del Puente Ronin

El Departamento del Tesoro de los Estados Unidos ha vinculado oficialmente al Grupo Lazarus con el programa de armas nucleares de Corea del Norte.