Com foco em jornalistas e desertores do governo, hackers apoiados pela Coreia do Norte usam malware em dispositivos Windows e Android

Pesquisadores da Kaspersky anunciaram a descoberta de um malware usado por hackers para ataques contra jornalistas, desertores da Coreia do Norte e ativistas dos Direitos Humanos. Até então desconhecido, o software malicioso foi apelidado de Chinotto (espécie de refrigerante de laranja italiano), sendo operado pelo grupo ScarCruft que, segundo as informações, é apoiado pelo governo norte-coreano e está ativo desde pelo menos 2012.

A investigação da Kaspersky foi possível após um serviço de notícias sediado em Seul, capital da Coreia do Sul, solicitar assistência técnica da empresa especializada em segurança cibernética. Entre agosto e setembro deste ano, uma investigação da NK News descobriu conexões entre o esquema de phishing vinculado à Coreia do Norte contra um desertor do país e outros ataques contra jornalistas do site e seus perfis nas redes sociais.

Como resultado das análises, os pesquisadores tiveram a oportunidade de realizar uma investigação mais profunda em um computador comprometido pelo ScarCruft – que também é conhecido como APT37, Group123 e Temp.Reaper. Foram encontradas evidências de que o grupo invasor já havia roubado os dados da vítima e rastreado suas ações por meses.

Três versões do malware e controle simultâneo

A análise revelou o uso de três versões do malware Chinotto: PowerShell, executável do Windows e aplicativo Android. Todas as versões contendo o mesmo esquema de comando e controle (C&C) e usando protocolo HTTP para comunicação.

Anúncio Patrocinado

Isso significa que, podendo controlar toda a família do malware por meio de um só conjunto de scripts, os hackers conseguiam infectar simultaneamente o computador e o telefone das vítimas, por exemplo. Os operadores do Chinotto podiam superar a autenticação de dois fatores em mensageiros ou e-mail, roubando mensagens SMS e outras informações confidenciais dos dispositivos.

Por meio das redes sociais e contas de e-mail comprometidas, os invasores também tentaram coletar informações e atacar as conexões das vítimas. Os criminosos fizeram uso de um método direcionado de phishing (spear phishing), com o envio de um documento contendo uma macro maliciosa e uma carga útil para um processo de infecção em vários estágios.

Entre os estágios, havia verificação de sistema de segurança, acesso confiável ao Visual Basic Application (VBA) e descarga da carga útil. Após a infecção inicial, os atacantes entregavam o malware Chinotto e então podiam controlar e exfiltrar informações confidenciais das vítimas.

Os alvos eram as pessoas

Com o malware, os criminosos conseguiam fazer download e upload de arquivos das vítimas, remover arquivos, arquivar diretórios e extrair ilegalmente informações de um sistema afetado. Além disso, o malware foi capaz de fazer capturas de tela e executar comandos do Windows, entre outras ações.

A versão Android do Chinotto pedia várias permissões para coletar informações confidenciais, como contatos, mensagens, registros de chamadas, dados do dispositivo e gravações de áudio. Nesses casos, o malware provavelmente era implantado por meio de ataques de smishing (phishing de SMS).

Para dificultar análises, o malware contava com uma grande quantidade de códigos de lixo. Durante a análise, os especialistas da Kaspersky também identificaram quatro outras vítimas, todas localizadas na Coreia do Sul, e servidores da Web comprometidos que estavam em uso desde o início de 2021. De acordo com a pesquisa, os alvos da ameaça são indivíduos, e não empresas ou organizações específicas.

“Muitos jornalistas, desertores e ativistas dos Direitos Humanos são alvos de ataques cibernéticos sofisticados”, disse Seongsu Park, principal pesquisador de segurança da equipe de pesquisa e análise global da Kaspersky. “No entanto, eles geralmente não têm as ferramentas para se defender e responder a tais ataques de vigilância”.

Leia mais:

• Hackers da Coreia do Norte usam site de notícias para espalhar malware
• Governo federal estuda criar batalhão de ”hackers do bem”
• ‘Round 6’: série recebe elogios na Coreia do Norte

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal.

O post Com foco em jornalistas e desertores do governo, hackers apoiados pela Coreia do Norte usam malware em dispositivos Windows e Android apareceu primeiro em Olhar Digital.

Fonte do Artigo
Tags:

#tecnologia #tecnologias #technology #tecnolog #iphone #informatica #tech #design #samsung #internet #apple #smartphone #seguranca #venezuela #celular #celulares #inovar #qualidade #software #empresas #cursos #engenharia #industria #marketing #ti #tecnoblog #veja #olhardigital #mundodigital #inteligenciaartificial #criar site #criar site curitiba #wiysolutions