Microsoft ka identifikuar një sulm të kryer nga grupi DEV-0139 kundër përdoruesve të kompanive që operojnë në sektorin e kriptomonedhave. Pasi fituan akses në grupet e dedikuara të Telegram-it, kriminelët kibernetikë arritën të shpërndanin një backdoor të fshehur në një skedar Excel. Qëllimi është padyshim që të hyni në kompjuterët e viktimave dhe të vidhni monedhat dixhitale nga kuletat.
Vjedhja e kriptomonedhave me teknika të sofistikuara
Kriminelët kibernetikë fillimisht u regjistruan për grupet Telegram të përdorura nga platformat e shkëmbimit për të ofruar mbështetje për klientët. Duke u paraqitur si përfaqësues të kompanive të sektorit, ata fituan besimin e përdoruesve, duke i bindur ata të bashkohen me grupe të tjera. Më pas ata dërguan një skedar Excel që përmban tabela që ilustrojnë strukturën e tarifave të shkëmbimeve.
Pas hapjes së skedarit, fillon zinxhiri i infeksionit. Makro shkarkon një skedar të dytë Excel i cili kopjohet në kompjuterin tuaj si VSDB688.tmp. Ky i fundit shkarkon një skedar PNG nga OpenDrive që përmban një skedar të ligjshëm të ekzekutueshëm (logagent.exe), një version të infektuar të wsock32.dll dhe një derë të pasme të koduar me XOR. Ekzekutuesi ngarkon DLL-në në memorie e cila, nga ana tjetër, deshifron derën e pasme, e cila përdoret për të hyrë në distancë në kompjuter dhe për të instaluar malware të tjerë që ju lejojnë të vidhni kriptomonedha.
Një sulm i tillë përfiton nga aplikacioni CryptoDashboardV2. Instaluesi MSI përdor një ekzekutues legjitim (tplink.exe) për të ngarkuar në memorie DUser.dll që është një emër tjetër i wsock32.dll. Microsoft rekomandon instalimin e një
zgjidhje sigurie duke përfshirë firewall dhe antivirus.
Discussion about this post