O grupo de hackers patrocinado pelo estado norte-coreano conhecido como Kimsuky tem sido observado realizando ataques de spear-phishing para entregar um malware stealer de informações chamado forceCopy, de acordo com novas descobertas do AhnLab Security Intelligence Center (ASEC).
Os ataques começam com emails de phishing contendo um arquivo de atalho do Windows (LNK) disfarçado como um documento do Microsoft Office ou PDF.
Abrir este anexo aciona a execução do PowerShell ou mshta.exe, um binário Microsoft legítimo projetado para rodar arquivos de Aplicação HTML (HTA), que são responsáveis por baixar e executar payloads de próxima fase de uma fonte externa.
A empresa sul-coreana de cibersegurança disse que os ataques culminaram na implantação de um trojan conhecido como PEBBLEDASH e uma versão personalizada de uma utilidade de Desktop Remoto de código aberto chamada RDP Wrapper.
Também entregue como parte dos ataques está um malware proxy que permite aos atores de ameaças estabelecer comunicações persistentes com uma rede externa via RDP.
Além disso, o Kimsuky foi observado usando um keylogger baseado em PowerShell para registrar as teclas digitadas e um novo malware stealer chamado forceCopy que é usado para copiar arquivos armazenados em diretórios relacionados a navegadores web.
"Todos os caminhos onde o malware é instalado são caminhos de instalação de navegadores web," disse o ASEC.
Acredita-se que o ator de ameaça esteja tentando contornar restrições em um ambiente específico e roubar os arquivos de configuração dos navegadores web onde as credenciais são armazenadas.
O uso de ferramentas como RDP Wrapper e proxies para comandar hosts infectados aponta para uma mudança tática para Kimsuky, que historicamente utilizou backdoors personalizados para esse propósito.
O ator de ameaça, também referido como APT43, Black Banshee, Emerald Sleet, Sparkling Pisces, Springtail, TA427 e Velvet Chollima, é avaliado como afiliado ao Reconnaissance General Bureau (RGB), o principal serviço de inteligência estrangeira da Coreia do Norte.
Ativo desde pelo menos 2012, o Kimusky tem um histórico de orquestrar ataques de engenharia social personalizados capazes de burlar proteções de segurança de email.
Em dezembro de 2024, a empresa de cibersegurança Genians revelou que a equipe de hackers tem enviado mensagens de phishing originadas de serviços russos para realizar roubo de credenciais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...