پلاس وی
2 سال پیش / خواندن دقیقه

هکرها با بهره‌گیری از تلگرام، صنعت کریپتو را هدف قرار دادند

هکرها با بهره‌گیری از تلگرام، صنعت کریپتو را هدف قرار دادند

براساس بیانیه‌ی هشداردهنده‌ی مایکروسافت، هکری با نام DEV-0139 با بهره‌گیری از گروه‌های چت تلگرام تریدرهای ثروتمند را هدف قرار داده است. این جدیدترین نمونه‌ی حملات هکری با تمرکز بر صنعت کریپتو محسوب می‌شود.

کارمزدهایی که صرافی‌های کریپتو برای هر تراکنش دریافت می‌کنند، مسئله‌ی بزرگی برای صندوق‌های سرمایه‌گذاری و تریدرهای ثروتمند محسوب می‌شوند. این کارمزدها هزینه روی دست تریدرها می‌گذارند و برای کاهش اثرگذاری آن‌ها روی سود، باید بهینه شوند. هکر یا گروهی از هکرها با تمرکز روی این مسئله، تلاش کرده‌اند توجه قربانیان را جلب کنند.

DEV-0139 در چند گروه تلگرامی که مشتریان ثروتمند و نمایندگان برخی از صرافی‌های شناخته‌شده‌ی صنعت کریپتو در آن حضور داشتند، عضو شد تا با آن‌ها ارتباط برقرار کند. DEV-0139 اهدافش را از بین اعضای این گروه‌ها انتخاب کرد. مایکروسافت می‌گوید صرافی‌های OKX و Huobi و بایننس هدف قرار گرفته‌اند. مدیرعامل صرافی بایننس در توییتی به این ماجرا واکنش نشان داده است.

هکر خودش را به‌عنوان کارمند صرافی جا زد و قربانی را به عضویت در گروه تلگرامی دیگری دعوت کرد و مدعی شد که درباره‌ی ساختار سیستم کارمزد صرافی‌های مختلف بازخورد می‌خواهد. هکر سپس از روی دانشش درباره‌ی صنعت کریپتو مکالمه‌ای با قربانی ترتیب داد تا اعتماد او را جلب کند. DEV-0139 فایل اکسلی به نام exchange fee comparision.xls را برای قربانی فرستاد که حاوی اطلاعاتی دقیق درباره‌ی ساختار کارمزد صرافی‌های کریپتو بود تا از این طریق اعتبارش را پیش قربانی افزایش دهد.

فایل اکسل یادشده به‌صورت مخفیانه فعالیت‌هایی انجام می‌داد؛ ازجمله استفاده از برنامه‌ای مخرب به‌منظور بازیابی داده‌ها و ایجاد صفحه‌ی اکسل دیگر. صفحه‌ی دوم در حالت نامرئی اجرا می‌شد و فایلی تصویری دانلود می‌کرد که از سه فایل اجرایی تشکیل شده بود: یک فایل رسمی ویندوز و نسخه‌ی مخرب یک فایل DLL و یک بک‌دور انکدشده‌ی XOR.

فایل DLL کتابخانه‌ای حاوی کد و داده‌هایی است که بیش از یک اپلیکیشن می‌توانند به‌طور‌هم‌زمان از آن‌ها استفاده کنند. همچنین، XOR راهکاری برای رمزنگاری است که از آن برای ایمن‌کردن داده‌ها استفاده می‌شود و کرک‌کردنش ازطریق روش بروت‌فورس دشوار است. مایکروسافت در بیانیه‌اش می‌گوید که احتمالاً DEV-0139 حملات دیگری با تکنیک‌های مشابه انجام داده است.


هر آنچه میخواهید در اینجا بخوانید
شاید از نوشته‌های زیر خوشتان بیاید
نظر خود را درباره این پست بنویسید ...

منوی سریع