Сначала хакеры находят крупных криптовалютных инвесторов в группах в Telegram, а затем, представляясь им сотрудниками конкурирующих компаний, приглашают в другую группу. Пользователям предлагается оценить структуру комиссий различных криптовалютных бирж. Для этого им предоставляется документ «OKX Binance & Huobi VIP fee comparision.xls», в котором, стоит отметить, действительно точно отражены комиссии различных бирж.
«Злоумышленники показывают широкие познания в криптовалютной отрасли, что говорит о тщательной подготовке и знании проблем, с которыми сталкиваются криптовалютные фирмы», ― пишут аналитики Microsoft.
Если пользователь открывает данный документ, то его компьютер заражается вирусом с помощью скриптов VBA. Скрипт скачивает зашифрованные файлы, являющиеся частями вируса. После этого хакеры получают доступ к ПК пользователя и имеют возможность украсть его криптоактивы.
Представители корейского подразделения Центра стратегических и международных исследований (CSIS) предположили, что за атаками стоят хакеры северокорейской группировки Lazarus. В октябре хакеров группы Lazarus также обвиняли в атаке на японские криптовалютные фирмы.