Divisi keamanan Microsoft, di a tekan rilis kemarin, 6 Desember, terungkap serangan yang menargetkan startup cryptocurrency. Mereka memperoleh kepercayaan melalui obrolan Telegram dan mengirimkan Excel berjudul “OKX Binance dan perbandingan biaya VIP Huobi.xls,” yang berisi kode berbahaya yang dapat mengakses sistem korban dari jarak jauh.
Tim intelijen ancaman keamanan telah melacak pelaku ancaman sebagai DEV-0139. Peretas dapat menyusup ke grup obrolan di Telegram, aplikasi perpesanan, menyamar sebagai perwakilan perusahaan investasi crypto dan berpura-pura mendiskusikan biaya perdagangan dengan klien VIP dari bursa utama.
Tujuannya adalah mengelabui dana investasi kripto agar mengunduh file Excel. File ini berisi informasi yang akurat tentang struktur biaya pertukaran cryptocurrency utama. Di sisi lain, ia memiliki makro jahat yang menjalankan lembar Excel lain di latar belakang. Dengan ini, aktor jahat ini mendapatkan akses jarak jauh ke sistem korban yang terinfeksi.
Microsoft menjelaskan, “Lembar utama di file Excel dilindungi dengan kata sandi naga untuk mendorong target mengaktifkan makro.” Mereka menambahkan, “Lembar kemudian tidak terlindungi setelah menginstal dan menjalankan file Excel lain yang disimpan di Base64. Ini kemungkinan digunakan untuk mengelabui pengguna agar mengaktifkan makro dan tidak menimbulkan kecurigaan.”
Menurut laporan, pada bulan Agustus, the cryptocurrency kampanye malware mining menginfeksi lebih dari 111,000 pengguna.
Intelijen ancaman menghubungkan DEV-0139 dengan kelompok ancaman Lazarus Korea Utara.
Bersamaan dengan file makro Excel yang berbahaya, DEV-0139 juga mengirimkan muatan sebagai bagian dari tipu daya ini. Ini adalah paket MSI untuk aplikasi CryptoDashboardV2, yang membayar gangguan yang sama. Ini telah membuat beberapa intelijen menyarankan bahwa mereka juga berada di balik serangan lain yang menggunakan teknik yang sama untuk mendorong muatan khusus.
Sebelum penemuan DEV-0139 baru-baru ini, ada serangan phishing serupa lainnya yang disarankan oleh beberapa tim intelijen ancaman mungkin merupakan cara kerja DEV-0139.
Perusahaan intelijen ancaman Volexity juga merilis temuannya tentang serangan ini selama akhir pekan, menghubungkannya dengan Lazarus Korea Utara kelompok ancaman.
Menurut Volexity, Korea Utara hacker gunakan spreadsheet perbandingan biaya pertukaran crypto berbahaya yang serupa untuk menghapus malware AppleJeus. Inilah yang mereka gunakan dalam pembajakan cryptocurrency dan operasi pencurian aset digital.
Volexity juga menemukan Lazarus menggunakan tiruan situs web untuk platform perdagangan crypto otomatis HaasOnline. Mereka mendistribusikan aplikasi Bloxholder trojan yang malah akan menyebarkan malware AppleJeus yang dibundel dalam aplikasi QTBitcoinTrader.
Grup Lazarus adalah grup ancaman dunia maya yang beroperasi di Korea Utara. Ini telah aktif sejak sekitar tahun 2009. Terkenal karena menyerang target profil tinggi di seluruh dunia, termasuk bank, organisasi media, dan lembaga pemerintah.
Kelompok ini juga diduga bertanggung jawab atas peretasan Sony Pictures 2014 dan serangan ransomware WannaCry tahun 2017.
Sumber: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/