Microsoft ha identificato una nuova minaccia informatica che prende di mire le start-up crypto. Un'entità – che Microsoft ha definito "DEV-0139" – fa credere di essere una società d'investimento specializzata in criptovalute, e utilizza un file Excel contenente un malware per infettare i sistemi delle proprie vittime.

Secondo gli esperti di Microsoft, si tratta di un attacco molto sofisticato. In questo caso gli hacker si sono identificati come dipendenti di OKX utilizzando profili falsi, unendosi poi ai gruppi Telegram "utilizzati per facilitare la comunicazione tra i client VIP e gli exchange di criptovalute:"

"Stiamo [...] assistendo ad attacchi più complessi, in cui gli autori della minaccia mostrano grande conoscenza e preparazione, adottando misure per ottenere la fiducia del proprio obiettivo prima di distribuire i payload."

Ad ottobre, la vittima è stata invitata a unirsi a un nuovo gruppo Telegram; i criminali hanno poi chiesto un feedback su un documento Excel che confrontava le strutture delle commissioni VIP di OKX, Binance e Huobi. Nel documento erano presenti informazioni accurate, denotando un'elevata consapevolezza del mondo del trading di criptovalute. Tuttavia, il file trasferiva in modo invisibile un file .dll (Dynamic Link Library) che creava una backdoor nel sistema dell'utente. Infine, alla vittima viene chiesto di aprile il file .dll durante una discussione apparentemente innocente sulle tariffe:

"Il famigerato gruppo Lazarus della Corea del Nord ha sviluppato versioni nuove e migliorate del suo malware AppleJeus, il cui obiettivo è rubare criptovalute. Si tratta dell'ennesimo tentativo del regime di raccogliere fondi per i programmi d'armi di Kim Jong-un."

Questo metodo d'attacco è noto da tempo. Microsoft presume che l'hacker in questione abbia condotto attacchi simili anche a giugno di quest'anno, e probabilmente altre volte ancora prima.

Secondo Microsoft, DEV-0139 potrebbe essere collegato a Lazarus Group, noto gruppo hacker finanziato dalla Corea del Nord: utilizza infatti una variante del malware AppleJeus. La Cybersecurity and Infrastructure Security Agency degli Stati Uniti ha documentato AppleJeus nel 2021, mentre Kaspersky Labs aveva segnalato questa minaccia già nel 2020.

Inoltre, il Dipartimento del Tesoro degli Stati Uniti ha collegato Lazarus Group al programma di armi nucleari della Corea del Nord.