Дослідники відділу Seven, група аналізу загроз SafeGuard Inc., сьогодні детально описали, як клієнти криптовалютної фірми, з якою вони співпрацюють, стали мішенню зловмисника за допомогою атаки соціальної інженерії з родзинкою: хакери видавали себе за відомого співробітника. Розслідування було розпочато після звіту Microsoft Security у грудні про цілеспрямовані атаки на індустрію криптовалют. Дослідники корпорації Microsoft заявили, що загрозливий актор, відстежуваний як DEV-0139, приєднувався до груп Telegram, де вони були націлені на компанії, що займаються інвестиціями в криптовалюту.
Було виявлено, що DEV-0139 використовує групи Telegram, які використовуються для полегшення розмов між VIP-клієнтами та платформами обміну криптовалютами для виявлення потенційних цілей серед своїх учасників. У звіті Microsoft загрозливий діяч видавав себе за представника іншої криптовалютної інвестиційної компанії та запрошував цілі до іншої групи чату та вдавав, що запитує відгук про безкоштовну структуру, яку використовують платформи обміну криптовалютою. Потім отримані знання були використані для надсилання шкідливого файлу Excel, який містив таблиці про структуру комісій між компаніями з обміну криптовалют.
Те, що виявили дослідники Division Seven, було дещо більш залученим, коли загрозливий актор видавав себе за довірену особу, щоб ефективніше здійснити атаку соціальної інженерії.
Використовуючи можливості ретроспективного огляду SafeGuard Cyber і механізм виявлення, дослідники виявили та підтвердили випадок, коли трейдери були мішенню для доставлення корисного навантаження, видаючи себе за відомого співробітника з організації компанії.
У прикладі зловмисник намагався видати себе за іншу особу, використовуючи ініціали законного користувача. Проте видавання себе за іншу особу було виявлено, обліковий запис було записано та позначено як іншого унікального автора. Дослідники вважають, що використання DEV-0139 детальної побудови довіри, ймовірно, було адаптацією менш успішної, хоча й легшої атаки з уособленням.
«Результат цього аналізу полягає в тому, що клієнт із відповідності дозволив глибші виявлення безпеки для користувачів Telegram, які контролюються», — підсумували дослідження. «Цей крок є частиною більшої тенденції, яку ми спостерігали протягом 2022 року, — більшої конвергенції безпеки та відповідності фінансових послуг для усунення загальних ризиків бізнес-комунікації».