Mercado fechado
  • BOVESPA

    108.941,68
    -160,31 (-0,15%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.599,38
    -908,97 (-1,73%)
     
  • PETROLEO CRU

    84,83
    -0,72 (-0,84%)
     
  • OURO

    1.836,10
    -6,50 (-0,35%)
     
  • BTC-USD

    36.569,11
    -3.317,57 (-8,32%)
     
  • CMC Crypto 200

    870,86
    +628,18 (+258,85%)
     
  • S&P500

    4.397,94
    -84,79 (-1,89%)
     
  • DOW JONES

    34.265,37
    -450,02 (-1,30%)
     
  • FTSE

    7.494,13
    -90,88 (-1,20%)
     
  • HANG SENG

    24.965,55
    +13,20 (+0,05%)
     
  • NIKKEI

    27.522,26
    -250,67 (-0,90%)
     
  • NASDAQ

    14.411,00
    -430,00 (-2,90%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,1900
    +0,0599 (+0,98%)
     

Com foco em jornalistas e desertores do governo, hackers apoiados pela Coreia do Norte usam malware em dispositivos Windows e Android

·3 min de leitura
Com foco em jornalistas e desertores do governo, hackers apoiados pela Coreia do Norte usam malware em dispositivos Windows e Android
Com foco em jornalistas e desertores do governo, hackers apoiados pela Coreia do Norte usam malware em dispositivos Windows e Android

Pesquisadores da Kaspersky anunciaram a descoberta de um malware usado por hackers para ataques contra jornalistas, desertores da Coreia do Norte e ativistas dos Direitos Humanos. Até então desconhecido, o software malicioso foi apelidado de Chinotto (espécie de refrigerante de laranja italiano), sendo operado pelo grupo ScarCruft que, segundo as informações, é apoiado pelo governo norte-coreano e está ativo desde pelo menos 2012.

A investigação da Kaspersky foi possível após um serviço de notícias sediado em Seul, capital da Coreia do Sul, solicitar assistência técnica da empresa especializada em segurança cibernética. Entre agosto e setembro deste ano, uma investigação da NK News descobriu conexões entre o esquema de phishing vinculado à Coreia do Norte contra um desertor do país e outros ataques contra jornalistas do site e seus perfis nas redes sociais.

Como resultado das análises, os pesquisadores tiveram a oportunidade de realizar uma investigação mais profunda em um computador comprometido pelo ScarCruft – que também é conhecido como APT37, Group123 e Temp.Reaper. Foram encontradas evidências de que o grupo invasor já havia roubado os dados da vítima e rastreado suas ações por meses.

Três versões do malware e controle simultâneo

A análise revelou o uso de três versões do malware Chinotto: PowerShell, executável do Windows e aplicativo Android. Todas as versões contendo o mesmo esquema de comando e controle (C&C) e usando protocolo HTTP para comunicação.

Isso significa que, podendo controlar toda a família do malware por meio de um só conjunto de scripts, os hackers conseguiam infectar simultaneamente o computador e o telefone das vítimas, por exemplo. Os operadores do Chinotto podiam superar a autenticação de dois fatores em mensageiros ou e-mail, roubando mensagens SMS e outras informações confidenciais dos dispositivos.

Por meio das redes sociais e contas de e-mail comprometidas, os invasores também tentaram coletar informações e atacar as conexões das vítimas. Os criminosos fizeram uso de um método direcionado de phishing (spear phishing), com o envio de um documento contendo uma macro maliciosa e uma carga útil para um processo de infecção em vários estágios.

Entre os estágios, havia verificação de sistema de segurança, acesso confiável ao Visual Basic Application (VBA) e descarga da carga útil. Após a infecção inicial, os atacantes entregavam o malware Chinotto e então podiam controlar e exfiltrar informações confidenciais das vítimas.

Os alvos eram as pessoas

Com o malware, os criminosos conseguiam fazer download e upload de arquivos das vítimas, remover arquivos, arquivar diretórios e extrair ilegalmente informações de um sistema afetado. Além disso, o malware foi capaz de fazer capturas de tela e executar comandos do Windows, entre outras ações.

A versão Android do Chinotto pedia várias permissões para coletar informações confidenciais, como contatos, mensagens, registros de chamadas, dados do dispositivo e gravações de áudio. Nesses casos, o malware provavelmente era implantado por meio de ataques de smishing (phishing de SMS).

Para dificultar análises, o malware contava com uma grande quantidade de códigos de lixo. Durante a análise, os especialistas da Kaspersky também identificaram quatro outras vítimas, todas localizadas na Coreia do Sul, e servidores da Web comprometidos que estavam em uso desde o início de 2021. De acordo com a pesquisa, os alvos da ameaça são indivíduos, e não empresas ou organizações específicas.

“Muitos jornalistas, desertores e ativistas dos Direitos Humanos são alvos de ataques cibernéticos sofisticados”, disse Seongsu Park, principal pesquisador de segurança da equipe de pesquisa e análise global da Kaspersky. “No entanto, eles geralmente não têm as ferramentas para se defender e responder a tais ataques de vigilância”.

Leia mais:

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal.

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos