Actualités

DEV-0139 cible le secteur des investissements en crypto-monnaies

Christian EmmanuelPar 2 Mins Lecture
DEV-0139 cible le secteur des investissements en crypto-monnaies

La dernière enquête de Microsoft a révélé qu’un acteur de la menace a exploité les groupes de discussion Telegram pour cibler le secteur des investissements en crypto-monnaies. Repéré sous le nom de DEV-0139 par le géant technologique, le groupe communique avec les clients VIP des cibles. 

Modus operandi

DEV-0139 a rejoint plusieurs groupes Telegram utilisés pour faciliter la communication entre les bourses de crypto-monnaies et les clients VIP et a trouvé la cible parmi les membres.

  • Une fois la confiance gagnée, l’attaquant se fait passer pour un représentant d’une autre bourse de crypto-monnaies et demande des commentaires sur la structure des frais.
  • La charge utile est livrée via un fichier Excel de comparaison des frais de crypto-échange militarisé, contenant une macro malveillante pour l’obfuscation de code et la récupération de données.
  • L’acteur de la menace déploie également une deuxième charge utile – un paquet MSI pour certaines applications CryptoDashboardV2. Cela indique que DEV-0139 est à l’origine d’autres attaques utilisant la même technique pour fournir des charges utiles personnalisées.

Attribution 

Alors que Microsoft n’a pas attribué les attaques à un groupe particulier et les a plutôt reliées au groupe de menaces DEV-0139, les chercheurs de Volexity ont relié la campagne au groupe APT Lazarus, parrainé par l’État nord-coréen.

  • Lazarus a utilisé le fichier Excel pour déposer le malware AppleJeus qu’il avait déjà utilisé lors de campagnes précédentes.
  • En outre, il y a quelques jours, le groupe APT a été découvert en train de propager ses fausses applications de crypto-monnaie sous le nom de marque inventé, BloxHolder. Ces applications ont finalement fourni AppleJeus. 

Dernières menaces liées aux crypto-monnaies

  • Des pirates ont été découverts en train d’abuser du « défi invisible » sur TikTok pour déployer WASP Stealer sur des milliers d’appareils. WASP Stealer peut dérober des portefeuilles de crypto-monnaies, des détails de cartes de crédit, des comptes Discord et des mots de passe. 
  • En novembre, un logiciel malveillant moins connu, baptisé ViperSoftX, est réapparu pour déposer une extension Google Chrome malveillante et voler des crypto-monnaies.

La conclusion

Avec l’expansion du marché des crypto-monnaies, les acteurs de la menace ont été extrêmement investis dans l’exploitation de ce marché. Cette dernière campagne menée par DEV-0139 ou Lazarus contre des bourses de crypto-monnaies met en évidence les menaces qui pèsent sur le paysage cryptographique pas si florissant (pour l’instant). L’attaquant semble bien connaître le secteur des crypto-monnaies, comme en témoigne la sophistication de l’attaque.

Partager.

Christian Emmanuel est le fondateur et responsable de la direction éditoriale, de la stratégie et de la croissance de Techdur. Il couvre la technologie depuis plus de 11 ans, en se concentrant sur les tests et la couverture des produits. Chris est spécialisé dans la couverture de tout ce qui concerne les mobiles, les ordinateurs portables, les jeux vidéo, le hardware et les voitures électriques, ayant testé des centaines de smartphones et autres gadgets. Il intervient lors d'événements clés de l'industrie technologique et est apparu sur CNN et Fox News lorsqu'il travaillait pour Techmagazine aux États-Unis.

Articles associés

Ajouter un commentaire

Laissez une réponse