طبق بیانیه هشدار مایکروسافت، هکری به نام DEV-0139 معامله گران ثروتمند را با استفاده از گروه های چت تلگرام هدف قرار داده است. این آخرین نمونه از حملات هکری است که بر صنعت کریپتو متمرکز شده است.
کارمزدی که صرافی های ارز دیجیتال برای هر تراکنش دریافت می کنند، چالش بزرگی برای صندوق های سرمایه گذاری و معامله گران ثروتمند است. این کارمزدها برای معامله گران هزینه ایجاد می کند و باید برای کاهش تأثیر آنها بر سود بهینه شود. یک هکر یا گروهی از هکرها با تمرکز بر این موضوع سعی در جلب توجه قربانیان داشته اند.
DEV-0139 به چندین گروه تلگرام ملحق شد که در آن مشتریان ثروتمند و نمایندگان تعدادی از صرافی های معروف در صنعت کریپتو حضور داشتند تا با آنها ارتباط برقرار کنند. DEV-0139 اهداف خود را از میان اعضای این گروه ها انتخاب کرد. مایکروسافت می گوید صرافی های OKX، Huobi و Binance هدف قرار گرفته اند. مدیرعامل صرافی بایننس در یک توییت به این حادثه واکنش نشان داده است.
هکر وانمود کرد که کارمند یک صرافی است و قربانی را به عضویت در یک گروه تلگرامی دیگر دعوت کرد و مدعی شد که خواستار بازخورد درباره ساختار سیستم کارمزد صرافیهای مختلف است.
سپس هکر مکالمه ای را با قربانی بر اساس دانش او از صنعت کریپتو ترتیب داد تا اعتماد او را جلب کند. DEV-0139 یک فایل اکسل به نام Exchange fee krahasim.xls را برای قربانی ارسال کرد که حاوی اطلاعات دقیقی در مورد ساختار کارمزد مبادلات رمزنگاری بود تا اعتبار آن را در مقابل قربانی افزایش دهد.
فایل اکسل مورد نظر به طور مخفیانه یک سری فعالیت ها از جمله استفاده از یک برنامه مخرب برای بازیابی اطلاعات و ایجاد یک برگه اکسل دیگر را انجام داد. صفحه دوم در حالت مخفی اجرا شد و یک فایل تصویری متشکل از سه فایل اجرایی دانلود کرد: یک فایل رسمی ویندوز، یک نسخه مخرب یک فایل DLL و یک درب پشتی با کد XOR.
فایل DLL یک کتابخانه حاوی کد و داده است که می تواند توسط بیش از یک برنامه به طور همزمان استفاده شود. از سوی دیگر، XOR یک راه حل رمزگذاری است که برای ایمن سازی داده ها استفاده می شود و شکستن آن از طریق نیروی بی رحمانه دشوار است.
مایکروسافت در بیانیه خود گفت که DEV-0139 احتمالا حملات دیگری را با استفاده از تکنیک های مشابه انجام داده است.