Um novo ataque de phishing, provavelmente direcionado a grupos da sociedade civil na Coreia do Sul, levou à descoberta de um novo trojan de acesso remoto chamado SuperBear.
A invasão isolou um ativista não identificado, que foi contatado no final de agosto de 2023 e recebeu um arquivo LNK malicioso de um endereço que se passava por um membro da organização, disse a entidade sem fins lucrativos Interlabs em um novo relatório.
O arquivo LNK, após ser executado, lança um comando PowerShell para executar um script do Visual Basic que, por sua vez, busca as cargas úteis da próxima etapa em um site WordPress legítimo, mas comprometido.
Isso inclui o binário Autoit3.exe ("solmir.pdb") e um script AutoIt ("solmir_1.pdb") que é iniciado usando o anterior.
O script AutoIt, por sua vez, executa a injeção de processo usando uma técnica de esvaziamento de processo, na qual o código malicioso é inserido em um processo que está em um estado suspenso.
Neste caso, uma instância do Explorer.exe é gerada para injetar um RAT nunca antes visto referido como SuperBear que estabelece comunicações com um servidor remoto para extrair dados, baixar e executar comandos de shell adicionais e bibliotecas de links dinâmicos (DDLs).
"A ação padrão para o servidor C2 parece instruir os clientes a exfiltrar e processar dados do sistema", disse Ovi Liber, pesquisador da Interlab, observando que o malware é assim chamado porque "o DLL malicioso tentará criar um nome de arquivo aleatório para ele, e se não puder, será nomeado 'SuperBear.'"
O ataque foi vagamente atribuído a um ator estatal norte-coreano chamado Kimsuky (também conhecido como APT43 ou Emerald Sleet, Nickel Kimball e Velvet Chollima), citando semelhanças com o vetor de ataque inicial e os comandos PowerShell usados.
Em fevereiro passado, a Interlab também revelou que atores estatais norte-coreanos atacaram um jornalista na Coreia do Sul com o malware Android batizado de RambleOn como parte de uma campanha de engenharia social.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...