Microsoft ha revelado que las entidades maliciosas son cada día más sofisticadas. Según un nuevo informe, se están utilizando grupos de chat de Telegram para atacar a empresas de inversión en criptomonedas.
El gigante tecnológico identificó a un actor de amenazas, DEV-0139, que se infiltró en grupos de Telegram haciéndose pasar por representante de una plataforma de criptomonedas.
Ataques dirigidos contra empresas de criptomonedas
El post publicado por el equipo de Inteligencia de Amenazas de Seguridad de Microsoft afirma que los actores de la amenaza tenían un conocimiento significativo de la industria de la inversión en criptomonedas e invitaron al menos a un objetivo (haciéndose pasar por representantes de otras empresas de gestión de criptoactivos) a otro grupo de Telegram. El objetivo principal es entablar un debate sobre un tema relevante para ganarse la confianza del objetivo.
Los atacantes les enviaban hojas de cálculo Excel con malware que contenían información bien elaborada para parecer legítima. Una vez abierto, el archivo Excel convertido en arma habilitada macros, y una segunda hoja de cálculo incrustada en el archivo descargaba y analizaba un archivo PNG para extraer una DLL maliciosa, un backdoor codificado con XOR y un ejecutable legítimo de Windows utilizado posteriormente para cargar lateralmente la DLL, que se descifrará y cargará el backdoor. De este modo, el autor de la amenaza tendrá acceso remoto al sistema infectado.
Microsoft no pudo recuperar la carga útil final, pero detectó otra variante de este ataque y recuperó su carga útil. Los hallazgos de la empresa pusieron de relieve la existencia de otras campañas que aprovechan las mismas técnicas para atacar a empresas de criptografía.
El informe concluía:
El mercado de las criptomonedas sigue siendo un campo de interés para los actores de amenazas. Los usuarios objetivo se identifican a través de canales de confianza para aumentar las posibilidades de éxito. Aunque las empresas más grandes pueden ser el objetivo, las más pequeñas también pueden ser objeto de interés.
El panorama de los criptoestafadores hasta ahora
El mercado de las criptomonedas sigue siendo un campo de interés para los actores de amenazas, que ahora se han inclinado por ataques más sofisticados para aumentar las posibilidades de éxito.
Según una investigación reciente llevada a cabo por la empresa de ciberseguridad y privacidad de datos Privacy Affairs, el valor de las criptomonedas desviadas por los actores de amenazas en los 11 primeros meses del año aumentó un 37% hasta alcanzar los 4.300 millones de dólares. De las 11 mayores estafas de criptomonedas cometidas en 2022, Privacy Affairs afirmó que las cinco primeras son:
- El fracaso de FTX.
- El ataque de Axie Infinity a Ronin Network en marzo (615 millones de dólares).
- El hackeo del puente de criptomonedas Wormhole en febrero (320 millones de dólares).
- La estafa de JuicyFields.io en julio (273 millones de dólares).
- Otras
Los rug pulls se llevaron una gran parte, ya que se registraron más de 188.000 de ellos en varias blockchains, incluidas BNB y Ethereum.