Microsoft: furto di criptovalute tramite Telegram

Microsoft: furto di criptovalute tramite Telegram

Un gruppo di cybercriminali ha usato gruppi Telegram per distribuire un file Excel che scarica sul computer un malware per il furto di criptovalute.
Un gruppo di cybercriminali ha usato gruppi Telegram per distribuire un file Excel che scarica sul computer un malware per il furto di criptovalute.

Microsoft ha individuato un attacco effettuato dal gruppo DEV-0139 contro utenti di aziende che operano nel settore delle criptovalute. Dopo aver ottenuto l’accesso a gruppi dedicati su Telegram, i cybercriminali sono riusciti a distribuire una backdoor nascosta in un file Excel. L’obiettivo è ovviamente accedere ai computer delle vittime e rubare le monete digitali dai wallet.

Furto di criptovalute con tecniche sofisticate

I cybercriminali hanno prima effettuato l’iscrizione ai gruppi Telegram usati dalle piattaforme di exchange per fornire supporto ai clienti. Fingendosi rappresentanti di aziende del settore hanno guadagnato la fiducia degli utenti, convincendoli a partecipare ad altri gruppi. Successivamente hanno inviato un file Excel contenente tabelle che illustrano la struttura delle commissioni degli exchange.

Dopo aver aperto il file inizia la catena di infezione. La macro scarica un secondo file Excel che viene copiato sul computer come VSDB688.tmp. Quest’ultimo scarica da OpenDrive un file PNG che contiene un file eseguibile legittimo (logagent.exe), una versione infetta di wsock32.dll e una backdoor codificata con XOR. L’eseguibile carica in memoria la DLL che, a sua volta, decifra la backdoor, usata per effettuare l’accesso remoto al computer e installare altri malware che permettono di rubare le criptovalute.

Un simile attacco sfrutta l’app CryptoDashboardV2. L’installer MSI utilizza un eseguibile legittimo (tplink.exe) per caricare in memoria DUser.dll che è un altro nome di wsock32.dll. Microsoft consiglia di installare una
soluzione di sicurezza che include firewall e antivirus.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 9 dic 2022
Link copiato negli appunti