攻击者使用电报聊天瞄准富有的加密货币基金

微软的安全情报团队在周三的一份报告中表示，在最新类型的以加密货币为重点的攻击中，名为 DEV-0139 的攻击者通过使用 Telegram 群聊将富有的加密货币基金作为目标。

加密货币交易所对交易收取的费用对投资基金和富有的交易者来说是一个巨大的挑战。它们代表成本，必须对其进行优化以最大程度地减少对利润和利润的影响。与该行业的许多其他公司一样，最大的成本来自交易所收取的费用。

攻击者或攻击者团体利用这个特定问题来引诱他们的加密货币基金目标。

DEV-0139 加入了几个 Telegram 群组，这些群组被知名客户和交易所用于交流，并从群组成员中确定了他们的目标。微软报告中的数据显示，OKX、火币和币安交易所成为攻击目标。

DEV-0139 伪装成交易所员工，邀请目标加入另一个聊天组，并假装征求对交易所使用的费用结构的反馈。然后他们发起对话以获得目标的信任——利用他们对行业的了解和准备逐步引诱受害者。

DEV-0139 随后发送了一个武器化的 Excel 文件，其中包含有关加密货币交易所公司之间费用结构的准确数据，目的是提高它们的可信度。

该 Excel 文件发起了一系列活动，包括使用恶意程序检索数据和删除另一个 Excel 工作表。然后这张表以隐形模式执行，并用于下载包含三个可执行文件的图片文件：一个合法的 Windows 文件、一个恶意版本的 DLL 文件和一个 XOR 编码的后门。

DLL 是一个包含代码和数据的库，可以同时被多个程序使用。另一方面，XOR是一种用于加密数据的加密方法，很难被暴力破解

然后，威胁行为者能够通过使用后门远程访问受感染的系统。

微软表示，DEV-0139 可能还使用类似技术开展了其他活动。