Microsoft (NASDAQ:MSFT) meldet, dass ein Bedrohungsakteur identifiziert wurde, der es auf Krypto-Investment-Startups abgesehen hat. Microsoft bezeichnet die Gruppe als DEV-0139. Diese soll sich auf Telegram als Kryptowährungs-Investmentgesellschaft ausgeben und eine Excel-Datei nutzen, die mit "gut gemachter" Malware versehen ist, um Systeme zu infizieren, auf die sie dann aus der Ferne zugreift.
In letzter Zeit kam es häufig zu Angriffen, die viel Raffinesse aufweisen. In diesem Fall trat der Bedrohungsakteur, der sich mit gefälschten Profilen von OKX-Mitarbeitern vorstellte, Telegram-Gruppen bei, die "zur Erleichterung der Kommunikation zwischen VIP-Kunden und Kryptowährungsbörsenplattformen verwendet werden", so Microsoft in einem Blogbeitrag vom 6. Dezember. Microsoft erklärte dazu:
"Wir sehen komplexere Angriffe, bei denen der Bedrohungsakteur viel Wissen und Vorbereitung zeigt und sich darum bemüht, das Vertrauen des Ziels zu gewinnen, bevor er zum Angriff ansetzt."Im Oktober wurde die Zielgruppe eingeladen, einer neuen Gruppe beizutreten, und dann um Feedback zu einem Excel-Dokument gebeten, das die VIP-Gebührenstrukturen von OKX, Binance und Huobi verglich. Das Dokument lieferte korrekte Informationen und spiegelte die Realität des Krypto-Handels wieder, schleuste aber auch unsichtbar eine bösartige .dll-Datei (Dynamic Link Library) als Hintertür in das System des Benutzers ein. Die Zielperson wurde dann im Laufe der Diskussion über die Gebühren aufgefordert, die .dll-Datei selbst zu öffnen.