کلاهبرداری، حمله و هک مدت‌هاست که در بخش ارزهای دیجیتال وجود داشته است. در حالی که برخی از هک ها در واقع برای سرقت آشکار اجرا شده اند، برخی دیگر برای آگاه کردن شبکه ها از نقاط ضعف خود انجام شده است. در حالی که بیشتر هکرها به صورت مخفیانه و به تنهایی عمل می کنند، برخی به فرقه ها می پیوندند.

با تشدید امنیت و شروع به اجرای اقدامات امنیتی بیشتر شرکت ها، مهاجمان برنامه هایی را برای حملات پیچیده تر ارائه می کنند. در یکی از وبلاگ های اخیر توسط اطلاعات تهدید امنیتی مایکروسافت، تیم یک عامل تهدید با برچسب DEV-0139 را شناسایی کرد. DEV-0139 شرکت های سرمایه گذاری ارزهای دیجیتال را با استفاده از گروه های چت تلگرام شکار می کند.

بایننس CZ همچنین اخیراً در توییتی در مورد این حمله، از کاربران خواست که محتاط باشند و از دانلود فایل ها از منابع ناشناس خودداری کنند.

DEV-0139 چگونه حمله را انجام می دهد؟

DEV-0139 اساساً حملات خود را با پیوستن به چت‌های تلگرامی که صرافی‌های ارزهای دیجیتال و مشتریان VIP آن‌ها گفتگو می‌کنند، چارچوب می‌دهد. سپس DEV-0139 به عنوان نماینده یکی دیگر از شرکت‌های سرمایه‌گذاری ارزهای دیجیتال جعل هویت می‌کند. سپس مهاجم مشتریان را به یک چت دیگر هدایت می کند. از چت برای درخواست بازخورد در مورد ساختار کارمزد مبادلات ارزهای دیجیتال استفاده می شود.

سپس DEV-0139 از تجربیات و دانش گسترده‌تر خود در صنعت ارزهای دیجیتال برای جلب اعتماد و جذب آنها به دام استفاده می‌کند. مهاجم یک فایل اکسل مسلح شده را ارسال می کند، مقایسه هزینه OKX Binance و Huobi VIP.xls، به مشتری. این فایل فهرستی از جداول خواهد داشت که شامل ساختار کارمزد صرافی های مختلف ارزهای دیجیتال است. این باعث افزایش اعتبار و اعتماد مهاجم می شود و مشتریان را فریب می دهد. سپس فایل تسلیح شده شروع به کار بازی خود می کند.

این حمله خود را با انجام مجموعه ای از فعالیت ها آغاز می کند. حمله اولیه با انداختن برگه اکسل دیگری آغاز می شود که از یک برنامه مخرب برای بازیابی داده ها استفاده می کند. اجرای برگه در حالت نامرئی اتفاق می افتد و یک فایل PNG را دانلود می کند. فایل PNG دارای سه فایل اجرایی خواهد بود: یک فایل قانونی ویندوز به نام logagent.exe، یک نسخه مخرب DLL wsock32.dllو یک درب پشتی با کد XOR.

سپس مهاجم می تواند از درب پشتی از راه دور به سیستم آلوده دسترسی پیدا کند. سپس مهاجم از آن برای جمع آوری تمام داده های لازم برای غارت ارزهای دیجیتال قربانی استفاده می کند.



دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *