Microsoft ha individuato un attacco effettuato dal gruppo DEV-0139 contro utenti di aziende che operano nel settore delle criptovalute. Dopo aver ottenuto l’accesso a gruppi dedicati su Telegram, i cybercriminali sono riusciti a distribuire una backdoor nascosta in un file Excel. L’obiettivo è ovviamente accedere ai computer delle vittime e rubare le monete digitali dai wallet.
Furto di criptovalute con tecniche sofisticate
I cybercriminali hanno prima effettuato l’iscrizione ai gruppi Telegram usati dalle piattaforme di exchange per fornire supporto ai clienti. Fingendosi rappresentanti di aziende del settore hanno guadagnato la fiducia degli utenti, convincendoli a partecipare ad altri gruppi. Successivamente hanno inviato un file Excel contenente tabelle che illustrano la struttura delle commissioni degli exchange.
Dopo aver aperto il file inizia la catena di infezione. La macro scarica un secondo file Excel che viene copiato sul computer come VSDB688.tmp. Quest’ultimo scarica da OpenDrive un file PNG che contiene un file eseguibile legittimo (logagent.exe), una versione infetta di wsock32.dll e una backdoor codificata con XOR. L’eseguibile carica in memoria la DLL che, a sua volta, decifra la backdoor, usata per effettuare l’accesso remoto al computer e installare altri malware che permettono di rubare le criptovalute.
Un simile attacco sfrutta l’app CryptoDashboardV2. L’installer MSI utilizza un eseguibile legittimo (tplink.exe) per caricare in memoria DUser.dll che è un altro nome di wsock32.dll. Microsoft consiglia di installare una
soluzione di sicurezza che include firewall e antivirus.
Ti potrebbe interessare
9 dic 2022