O grupo de hackers ligado à Coreia do Norte, conhecido como Kimsuky, foi responsabilizado por um novo ataque de engenharia social que utiliza contas fictícias no Facebook para mirar em alvos através do Messenger e, por fim, distribuir malware.
"O ator de ameaças criou uma conta no Facebook com uma identidade falsa disfarçada de um oficial público que trabalha na área de direitos humanos da Coreia do Norte", disse a empresa de cibersegurança sul-coreana Genians em um relatório publicado na semana passada.
A campanha de ataque em várias etapas, que se passa por um indivíduo legítimo, é projetada para mirar em ativistas nos setores de direitos humanos da Coreia do Norte e anti-Coreia do Norte.
A abordagem marca uma mudança em relação à estratégia típica de spear-phishing baseada em email, na medida em que aproveita a plataforma de mídia social para abordar alvos através do Facebook Messenger e enganá-los para abrir documentos aparentemente privados escritos pela persona.
Os documentos iscas, hospedados no OneDrive, são documentos Microsoft Common Console que se passam por um ensaio ou conteúdo relacionado a um encontro trilateral entre Japão, Coreia do Sul e EUA -- "My_Essay(prof).msc" ou "NZZ_Interview_Kohei Yamamoto.msc" -- com o último sendo carregado na plataforma VirusTotal em 5 de abril de 2024, do Japão.
Isso aumenta a possibilidade de que a campanha possa ser direcionada para visar pessoas específicas no Japão e na Coreia do Sul.
O uso de arquivos MSC para realizar o ataque é um sinal de que o Kimsuky está utilizando tipos de documentos incomuns para passar despercebido.
Em uma tentativa adicional de aumentar a probabilidade de sucesso da infecção, o documento é disfarçado como um arquivo Word inofensivo usando o ícone do processador de texto.
Caso uma vítima execute o arquivo MSC e concorde em abri-lo usando o Microsoft Management Console (MMC), uma tela de console contendo um documento Word é exibida e, ao ser lançada, ativa a sequência de ataque.
Isso envolve executar um comando para estabelecer uma conexão com um servidor controlado pelo adversário ("brandwizer.co[.]in") para exibir um documento hospedado no Google Drive ("Essay on Resolution of Korean Forced Labor Claims.docx"), enquanto instruções adicionais são executadas em segundo plano para estabelecer persistência, bem como coletar informações de bateria e processos.
As informações coletadas são então exfiltradas para o servidor de comando e controle (C2), que também é capaz de colher endereços IP, strings de User-Agent e informações de timestamp a partir das solicitações HTTP, e entregar payloads relevantes conforme necessário.
A Genians disse que algumas das táticas, técnicas e procedimentos (TTPs) adotados na campanha coincidem com atividades anteriores do Kimsuky que disseminavam malware como ReconShark, que foi detalhado pela SentinelOne em maio de 2023.
"No primeiro trimestre deste ano, ataques de spear phishing foram o método mais comum de ataques APT reportados na Coreia do Sul," observou a empresa.
Embora não sejam comumente reportados, ataques encobertos via mídias sociais também estão ocorrendo. Devido à sua natureza personalizada, um a um, eles não são facilmente detectados por monitoramento de segurança e raramente são reportados externamente, mesmo que a vítima esteja ciente deles.
Portanto, é muito importante detectar essas ameaças personalizadas em um estágio inicial.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...