O grupo de hackers Coreanos do Norte, conhecido como grupo Kimsuky, foi atribuído a um novo ataque de engenharia social que utiliza contas fictícias do Facebook para atacar alvos via Messenger e, por fim, entregar malware.
Segundo a empresa sul-coreana de cibersegurança Genians, o ataque em várias etapas, que se passa por uma pessoa legítima, tem como alvo ativistas nos setores de direitos humanos da Coreia do Norte e anti-Coreia do Norte.
Essa abordagem é diferente da estratégia típica de spear-phishing por e-mail, pois aproveita a plataforma de mídia social para abordar os alvos através do Facebook Messenger e enganá-los a abrir documentos privados aparentes escritos pela persona.
Os documentos isca, hospedados no OneDrive, são documentos do Microsoft Common Console que se passam por um ensaio ou conteúdo relacionado a uma cúpula trilateral entre Japão, Coreia do Sul e Estados Unidos – “My_Essay(prof).msc” ou “NZZ_Interview_Kohei Yamamoto.msc” – com o último carregado na plataforma VirusTotal em 5 de abril de 2024, no Japão.
Isso levanta a possibilidade de que a campanha possa estar orientada para atingir pessoas específicas no Japão e na Coreia do Sul.
O uso de arquivos MSC para executar o ataque é um sinal de que o Kimsuky está utilizando tipos de documentos incomuns para passar despercebido. Em uma tentativa adicional de aumentar a probabilidade de sucesso da infecção, o documento é disfarçado como um arquivo Word inofensivo usando o ícone do processador de texto.
Caso a vítima execute o arquivo MSC e consinta em abri-lo usando o Console de Gerenciamento da Microsoft (MMC), é exibida uma tela de console contendo um documento do Word que, quando lançado, ativa a sequência de ataque.
Isso envolve a execução de um comando para estabelecer uma conexão com um servidor controlado por adversários (“brandwizer.co[.]in”) para exibir um documento hospedado no Google Drive (“Essay on Resolution of Korean Forced Labor Claims.docx”), enquanto instruções adicionais são executadas em segundo plano para configurar persistência e coletar informações de bateria e processos.
A Genians disse que algumas das táticas, técnicas e procedimentos (TTPs) adotados na campanha se sobrepõem à atividade anterior do Kimsuky na disseminação de malware, como o ReconShark, que foi detalhado pela SentinelOne em maio de 2023.
“No primeiro trimestre deste ano, os ataques de spear-phishing foram o método mais comum de ataques APT relatados na Coreia do Sul”, observou a empresa. “Embora não sejam comumente relatados, os ataques secretos via mídia social também estão ocorrendo.”
“Devido à sua natureza personalizada e individual, eles não são facilmente detectados pela monitorização de segurança e raramente são relatados externamente, mesmo que a vítima tenha conhecimento deles. Portanto, é muito importante detectar essas ameaças personalizadas em um estágio inicial.”
