“A Microsoft investigou recentemente um ataque em que o agente da ameaça, rastreado como DEV-0139, aproveitou os grupos de bate-papo do Telegram para atingir empresas de investimento em criptomoedas”, revelou a equipe de inteligência de ameaças de segurança da empresa.

“DEV-0139 juntou-se a grupos do Telegram usados para facilitar a comunicação entre clientes VIP e plataformas de troca de criptomoedas e identificou seu alvo entre os membros.”

Em 19 de outubro, invasores com amplo conhecimento da indústria de investimentos em cripto convidaram pelo menos um alvo (se passando por representantes de outras empresas de gerenciamento de criptoativos) para outro grupo do Telegram, onde pediram feedback sobre a estrutura de taxas das plataformas de troca de criptomoedas.

Depois de ganhar a confiança de seus alvos, os invasores enviaram planilhas Excel maliciosas chamadas “OKX Binance & Huobi VIP rate comparision.xls”. Depois que a vítima abre o documento e ativa as macros, uma segunda planilha incorporada ao arquivo baixa e analisa um arquivo PNG para extrair uma DLL maliciosa, um backdoor codificado e um executável legítimo do Windows usado posteriormente para carregar a DLL.

Essa DLL  carregará o backdoor, fornecendo aos invasores acesso remoto ao sistema comprometido da vítima.