O ator de ameaças vinculado à Coreia do Norte, conhecido como Kimsuky, tem sido observado utilizando uma nova tática que envolve enganar os alvos para executar o PowerShell como administrador e, em seguida, instruí-los a colar e executar um código malicioso fornecido por eles.
"Para executar essa tática, o ator de ameaça se disfarça de um funcionário do governo sul-coreano e, ao longo do tempo, constrói um relacionamento com o alvo antes de enviar um e-mail de spear-phishing com um anexo em PDF", disse a equipe de Inteligência de Ameaças da Microsoft em uma série de posts compartilhados no X.
Para ler o documento PDF em questão, as vítimas são persuadidas a clicar em uma URL contendo uma lista de passos para registrar seu sistema Windows.
O link de registro insta-os a iniciar o PowerShell como administrador, copiar/colar o trecho do código exibido no terminal e executá-lo.
Caso a vítima execute o seguimento, o código malicioso baixa e instala uma ferramenta de desktop remoto baseada em navegador, junto com um arquivo de certificado com um PIN codificado em um servidor remoto.
"O código então envia uma requisição web para um servidor remoto para registrar o dispositivo da vítima usando o certificado baixado e o PIN. Isso permite que o ator de ameaça acesse o dispositivo e realize exfiltração de dados", disse a Microsoft.
A gigante da tecnologia disse que observou o uso dessa abordagem em ataques limitados desde janeiro de 2025, descrevendo-o como uma partida do modus operandi usual do ator de ameaça.
Vale ressaltar que o Kimsuky não é o único grupo de hacking norte-coreano a adotar a estratégia de comprometimento.
Em dezembro de 2024, foi revelado que atores de ameaça ligados à campanha Contagious Interview estão enganando usuários para copiar e executar um comando malicioso em seus sistemas Apple macOS através do aplicativo Terminal, a fim de abordar um suposto problema de acesso à câmera e ao microfone através do navegador web.
Tais ataques, juntamente com aqueles que adotaram o método chamado ClickFix, dispararam recentemente, em parte impulsionados pelo fato de que eles dependem dos alvos para infectar suas próprias máquinas, contornando assim as proteções de segurança.
Uma mulher do Arizona se declara culpada por administrar uma fazenda de laptops para trabalhadores de TI da Coreia do Norte
O desenvolvimento vem à medida que o Departamento de Justiça dos EUA (DoJ) disse que uma mulher de 48 anos do estado do Arizona se declarou culpada por seu papel no esquema fraudulento de trabalhadores de TI que permitiu a atores de ameaça da Coreia do Norte obter empregos remotos em mais de 300 empresas dos EUA, se passando por cidadãos e residentes dos EUA.
A atividade gerou mais de US$ 17.1 milhões em receita ilícita para Christina Marie Chapman e para a Coreia do Norte em violação às sanções internacionais entre outubro de 2020 e outubro de 2023, disse o departamento.
"Chapman, cidadã americana, conspirou com trabalhadores de TI no exterior de outubro de 2020 a outubro de 2023 para roubar as identidades de nacionais dos EUA e usou essas identidades para se candidatar a empregos de TI remotos e, no avanço do esquema, transmitiu documentos falsos ao Departamento de Segurança Interna", disse o DoJ.
Chapman e seus coconspiradores obtiveram empregos em centenas de empresas dos EUA, incluindo corporações da Fortune 500, muitas vezes por meio de empresas de staff temporário ou outras organizações de contratação.
A ré, que foi presa em maio de 2024, também foi acusada de administrar uma fazenda de laptops hospedando vários laptops em sua residência para dar a impressão de que os trabalhadores norte-coreanos estavam trabalhando de dentro do país, quando, na realidade, eles estavam baseados na China e na Rússia e conectados remotamente aos sistemas internos das empresas.
"Como resultado da conduta de Chapman e seus conspiradores, mais de 300 empresas dos EUA foram impactadas, mais de 70 identidades de pessoa dos EUA foram comprometidas, em mais de 100 ocasiões foram transmitidas informações falsas ao DHS, e mais de 70 indivíduos dos EUA tiveram passivos fiscais falsos criados em seu nome", adicionou o DoJ.
O aumento do escrutínio das forças da lei levou a uma escalada do esquema de trabalhadores de TI, com relatos emergindo de exfiltração de dados e extorsão.
"Após serem descobertos nas redes das empresas, os trabalhadores de TI da Coreia do Norte extorquiram vítimas mantendo dados proprietários e códigos roubados como reféns até que as empresas atendessem às demandas de resgate", disse o Federal Bureau of Investigation (FBI) dos EUA em um comunicado no mês passado.
Em alguns casos, trabalhadores de TI norte-coreanos divulgaram publicamente o código proprietário das empresas vítimas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...