Microsoft met en garde les entreprises de crypto-monnaie contre les cyberattaques complexes


Des acteurs de la menace ont été observés ciblant des entreprises opérant dans le secteur de la crypto-monnaie à des fins lucratives.

Selon un nouveau consultatif publiées par Microsoft mardi, les attaques ciblant ce marché ont pris plusieurs formes au cours des derniers mois, notamment la fraude, l’exploitation de vulnérabilités, les fausses applications et le déploiement de voleurs d’informations.

« Nous assistons également à des attaques plus complexes dans lesquelles l’acteur de la menace fait preuve d’une grande connaissance et préparation, prenant des mesures pour gagner la confiance de sa cible avant de déployer des charges utiles », a écrit le géant de la technologie.

L’un des acteurs de la menace observés par Microsoft et opérant dans cette industrie est DEV-0139, qui a utilisé les groupes Telegram pour faciliter la communication entre les clients VIP et les sociétés d’échange de crypto-monnaie et a ainsi identifié leur cible parmi les membres.

« L’acteur menaçant s’est fait passer pour les représentants d’une autre société d’investissement en crypto-monnaie et, en octobre 2022, a invité la cible à un autre groupe de discussion et a fait semblant de demander des commentaires sur la structure des frais utilisés par les plateformes d’échange de crypto-monnaie », Microsoft expliqué.

« L’acteur de la menace avait une connaissance plus large de cette partie spécifique de l’industrie, ce qui indique qu’il était bien préparé et conscient du défi actuel que les entreprises ciblées peuvent avoir. »

Après avoir établi le premier contact avec des victimes potentielles, DEV-0139 a envoyé un fichier Excel armé contenant des tableaux sur les structures de frais entre les sociétés d’échange de crypto-monnaie.

Microsoft a suggéré que les données contenues dans le document étaient peut-être exactes pour augmenter leur crédibilité, mais une fois exécuté, le fichier malveillant a infecté la machine de la victime, a atteint la persistance et a installé une porte dérobée pour un accès à distance ultérieur.

« Une enquête plus approfondie via notre télémétrie a conduit à la découverte d’un autre fichier qui utilise la même DLL [dynamic link library] technique de procuration. Mais au lieu d’un fichier Excel malveillant, il est livré dans un MSI [Microsoft installer] package », a écrit Microsoft. « Cela peut suggérer que d’autres campagnes connexes sont également menées par le même acteur de la menace, en utilisant les mêmes techniques. »

Pour se défendre contre ce type d’attaque, la société a inclus dans son avis une liste d’indicateurs de compromission (IoC) ainsi que d’autres considérations de sécurité.

Les informations sur les nouvelles menaces arrivent des semaines après la plateforme de financement décentralisé (DeFi) Moola Market subi un incident de sécurité entraînant une perte pouvant atteindre 9 millions de dollars en crypto-monnaie.

Laisser un commentaire