Microsoft rapporte avoir identifié un pirate qui cible les startups d'investissement en cryptomonnaie. Une entité que Microsoft a baptisée DEV-0139 s'est fait passer pour une société d'investissement en cryptomonnaie sur Telegram et a utilisé un fichier Excel contenant un malware « bien conçu » pour infecter des systèmes auxquels elle a ensuite accédé à distance.
Cette menace fait partie d'une catégorie d'attaques présentant un haut niveau de sophistication. En effet, dans ce cas spécifique, l'auteur de la menace s'identifie avec de faux profils d'employés d'OKX et rejoint des groupes Telegram « créés pour faciliter la communication entre des clients VIP et des plateformes d'exchange crypto », a écrit Microsoft dans un article de blog du 6 décembre. Microsoft explique :
« Nous [...] assistons à des attaques plus complexes dans lesquelles l'auteur de la menace fait preuve d'une connaissance très poussée et d'une grande préparation. Il prend toutes les dispositions pour gagner la confiance de sa cible avant de déployer des charges utiles. »
En octobre, la cible a été invitée à rejoindre un nouveau groupe, puis à donner son avis sur un document Excel qui comparait les structures de frais VIP d'OKX, à celles de Binance et de Huobi. Le document contenait des informations très précises et une forte sensibilisation à la réalité du trading de cryptomonnaies. Cependant, on y avait également placé de manière invisible, un fichier .dll (Dynamic Link Library) malveillant, afin de créer une porte d'entrée furtive dans le système de l'utilisateur. La cible était ensuite invitée à ouvrir elle-même le fichier .dll au cours de la discussion relative aux frais.
DPRK’s infamous Lazarus Group has developed new and improved versions of its cryptocurrency-stealing malware AppleJeus, marking the regime’s latest attempt to garner funds for Kim Jong-un’s weapons programs. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS Korea Chair (@CSISKoreaChair) December 6, 2022
L'infâme Lazarus Group de la RPDC a conçu des versions nouvelles et avancées de son logiciel malveillant AppleJeus, qui vole des cryptomonnaies. Il s'agit de la dernière tentative du régime pour financer les programmes d'armement de Kim Jong-un. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
- Chaire du CSIS pour la Corée (@CSISKoreaChair) Le 6 décembre 2022
Cette technique d'escroquerie elle-même est connue depuis longtemps.
Microsoft a suggéré que l'acteur de la menace était le même que celui qui avait utilisé des fichiers .dll à des fins similaires en juin et qui était probablement à l'origine d'autres incidents. Selon Microsoft, DEV-0139 est le même acteur que la société de cybersécurité Volexity a associé au groupe Lazarus, parrainé par l'État nord-coréen, à l'aide d'une variante de malware connue sous le nom d'AppleJeus et d'un MSI (installateur Microsoft). L'Agence fédérale américaine de cybersécurité et de sécurité des infrastructures a documenté AppleJeus en 2021, et Kaspersky Labs en a fait état en 2020
À lire également : Le groupe nord-coréen Lazarus serait à l'origine du piratage de Bridge Ronin
Le département du Trésor américain a officiellement établi un lien entre Lazarus Group et le programme d'armes nucléaires de la Corée du Nord.