La recherche confirme que l’acteur de la menace se fait passer pour une entreprise de crypto-monnaie sur Telegram
Un mois après que Microsoft a révélé qu’un acteur malveillant visait à utiliser Telegram pour se connecter avec des VIP de crypto-monnaie et les infecter avec des logiciels malveillants, une autre entreprise a trouvé des preuves supplémentaires d’acteurs malveillants utilisant des tactiques pour se faire passer pour des acteurs légitimes dans l’espace de crypto-monnaie.
DEV-0139, un acteur menaçant identifié par Microsoft Security en décembre de l’année dernière, a profité des discussions du groupe Telegram pour attaquer les sociétés d’investissement en crypto-monnaie. Suite au rapport de Microsoft, une société de crypto-monnaie a engagé SafeGuard Cyber pour les aider à déterminer s’ils ont été ciblés par DEV-0139.
L’équipe de renseignement sur les menaces de SafeGuard Cyber Division Seven (D7) a ensuite localisé et confirmé un cas où les employés de l’entreprise avaient été ciblés dès juillet 2022 avec les mêmes fichiers malveillants que DEV-0139 avait envoyés.
« L’équipe D7 a identifié le même [tactics, techniques, and procedures] que Microsoft avait observé et lié à DEV-0139 », a déclaré Steven Spadaccini, vice-président du renseignement sur les menaces chez SafeGuard Cyber.
Selon les recherches de Microsoft du 6 décembre, DEV-0139 a utilisé des groupes Telegram pour faciliter la communication entre les clients VIP et les plates-formes d’échange de crypto-monnaie, en identifiant leurs cibles parmi les membres. Après avoir établi des connexions et gagné la confiance des cibles, l’acteur de la menace a envoyé des fichiers Excel contenant des logiciels malveillants déguisés en enquêtes sur les structures de frais parmi les sociétés d’échange de crypto-monnaie. Les acteurs derrière la campagne ont parfois démontré une connaissance approfondie de l’espace des crypto-monnaies et de ses acteurs. Dans ce Dans un cas particulier, SafeGuard Cyber a déclaré que l’auteur de la menace s’était en fait fait passer pour un employé connu de l’organisation cliente afin de gagner la confiance avant de lui demander d’ouvrir un fichier de macro malveillant déguisé en formulaire sur les structures tarifaires. Les chercheurs de SafeGuard ont déclaré qu’alors que l’individu apportait des modifications superficielles à son profil et à sa photo Telegram pour mettre en œuvre le stratagème, ses métadonnées l’identifiaient clairement comme un imitateur.
Cependant, bien qu’il suive le même schéma que DEV-0139, Spadaccini a déclaré à SC Media que son équipe n’a attaché aucune attribution à des groupes spécifiques.
« Les TTP semblent être révélateurs du groupe susmentionné et/ou d’autres mauvais acteurs », a-t-il noté.
« Le résultat de cette analyse est qu’un client de conformité a permis des détections de sécurité plus approfondies pour les utilisateurs de Telegram surveillés », a conclu la recherche. « Cette décision fait partie d’une tendance plus large que nous avons observée au cours de 2022, une plus grande convergence des fonctions de sécurité et de conformité dans les services financiers pour faire face aux risques globaux de communication d’entreprise. »
Malgré l’hiver crypto, Telegram a annoncé en décembre de l’année dernière qu’il construirait un ensemble d’outils décentralisés pour des millions de personnes, y compris des portefeuilles non dépositaires et des échanges décentralisés.