Grupos de hackers norte-coreanos têm utilizado ataques de phishing para comprometer alvos e obter acesso ao aplicativo KakaoTalk em desktops das vítimas, com o objetivo de disseminar payloads maliciosos a contatos específicos.
Essa atividade foi atribuída pela empresa sul-coreana de inteligência em ameaças Genians ao grupo conhecido como Konni.
De acordo com análise do Genians Security Center (GSC), o acesso inicial ocorreu por meio de um e-mail de spear-phishing, disfarçado como uma notificação que indicava o destinatário como palestrante sobre direitos humanos na Coreia do Norte.
Após o sucesso do ataque, a vítima executou um arquivo malicioso do tipo LNK, que resultou na infecção por um malware de acesso remoto (RAT).
O malware permaneceu oculto e persistente no endpoint por longo período, roubando documentos internos e informações sensíveis.
O grupo malicioso continuou no sistema infectado, explorando o acesso não autorizado para extrair dados internos e utilizando o KakaoTalk do usuário para propagar o malware seletivamente a contatos específicos.
A estratégia chama a atenção por explorar a confiança das vítimas para enganar e atingir novos alvos.
Não é a primeira vez que o grupo Konni usa o app de mensagens como vetor de disseminação.
Em novembro de 2023, o grupo utilizou sessões autenticadas do KakaoTalk para enviar payloads maliciosos em arquivos ZIP aos contatos das vítimas, além de iniciar a limpeza remota de dispositivos Android com credenciais roubadas do Google.
A campanha mais recente começa com um e-mail de spear-phishing que tenta induzir o destinatário a abrir um anexo ZIP contendo um atalho do Windows (LNK).
Quando executado, o arquivo LNK baixa uma carga maliciosa de um servidor externo, estabelece persistência por meio de tarefas agendadas e executa o malware, ao mesmo tempo em que exibe um documento PDF falso para distrair o usuário.
Desenvolvido em AutoIt, o malware baixado é um trojan de acesso remoto (RAT) chamado EndRAT (também conhecido como EndClient RAT).
Ele permite que o operador controle remotamente o sistema comprometido, com recursos como gerenciamento de arquivos, acesso remoto via shell, transferência de dados e manutenção da persistência.
Análises adicionais identificaram a presença de outros artefatos maliciosos no host infectado, incluindo scripts AutoIt relacionados aos RATs RftRAT e RemcosRAT.
Isso indica que os invasores consideraram a vítima valiosa o suficiente para implantar várias famílias de RATs, aumentando a resistência do ataque.
Um ponto crucial dessa campanha é o uso abusivo do aplicativo KakaoTalk instalado no sistema infectado para distribuir arquivos ZIP maliciosos a outros contatos da vítima, transformando usuários comprometidos em intermediários da propagação do malware.
“Essa operação é avaliada como um ataque em múltiplas etapas, que vai além do spear-phishing simples, combinando persistência de longo prazo, roubo de informações e redistribuição baseada em contas”, explicou o Genians.
“O atacante selecionou contatos específicos da lista de amigos da vítima e enviou arquivos disfarçados como materiais relacionados à Coreia do Norte para induzir a abertura dos anexos.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...