Mercado fechará em 4 hs
  • BOVESPA

    117.823,49
    +625,67 (+0,53%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    46.289,54
    +443,71 (+0,97%)
     
  • PETROLEO CRU

    88,24
    +0,48 (+0,55%)
     
  • OURO

    1.719,80
    -1,00 (-0,06%)
     
  • BTC-USD

    20.094,42
    +109,69 (+0,55%)
     
  • CMC Crypto 200

    457,37
    -5,76 (-1,24%)
     
  • S&P500

    3.757,87
    -25,41 (-0,67%)
     
  • DOW JONES

    30.056,91
    -216,96 (-0,72%)
     
  • FTSE

    6.997,27
    -55,35 (-0,78%)
     
  • HANG SENG

    18.012,15
    -75,82 (-0,42%)
     
  • NIKKEI

    27.311,30
    +190,80 (+0,70%)
     
  • NASDAQ

    11.650,00
    +26,25 (+0,23%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,1064
    -0,0298 (-0,58%)
     

Criminosos usam sistema de verificação para atingir apenas vítimas em potencial

Cibercriminosos estão usando sistemas de verificação semelhantes aos de plataformas legítimas de autenticação para garantir que suas ofensivas de malware sejam acessadas apenas por vítimas em potencial. A tática foi descoberta em campanhas disseminadas por um grupo chamado Kimsuky, que teria ligações com o governo da Coreia do Norte e atuaria em seu nome em ataques de espionagem política.

As técnicas envolvem mecanismos semelhantes, por exemplo, ao do conceito de segurança zero-trust, que leva em conta geolocalização, links específicos, endereços der e-mail e outros parâmetros para filtrar os acessos. A tática é eficaz ao ponto de especialistas da Kaspersky, empresa de segurança que revelou a dinâmica, não terem conseguido acesso aos vírus mesmo conectados aos servidores usados pelos criminosos para disponibilização.

As campanhas com esse formato estariam acontecendo desde o início deste ano, com foco principalmente na Coreia do Sul. Políticos, empresários do setor de defesa, diplomatas, professores universitários e jornalistas seriam os principais alvos, que recebem e-mails de phishing com documentos anexados ou para download, que trazem comandos que executam a instalação das pragas nos dispositivos das vítimas.

<em>Documentos são vetor de entrada para ataques políticos contra pessoas de interesse na Coreia do Sul, com sistema de validação que impedem o download de vírus por especialistas em segurança e autoridades (Imagem: Reprodução/Kaspersky)</em>
Documentos são vetor de entrada para ataques políticos contra pessoas de interesse na Coreia do Sul, com sistema de validação que impedem o download de vírus por especialistas em segurança e autoridades (Imagem: Reprodução/Kaspersky)

Os mesmos servidores que contém os vírus, entretanto, fazem checagens que envolvem a localização do acesso, sistema operacional e dispositivo utilizado. Essa checagem acontece em diferentes etapas: na primeira, o tal documento é exibido e contém macros que não apenas abrem para o segundo estágio de infecção, mas também envia o endereço de IP da vítima como forma de confirmar que ele é, realmente, um dos alvos pretendidos, criando uma identidade que é checada posteriormente para conclusão da contaminação.

Segundo a Kaspersky, outros métodos inventivos são usados como forma de esconder infraestruturas e malwares dos especialistas e autoridades. Páginas falsas em serviços de criação de blogs, por exemplo, são criadas em nome de cada vítima para servir os conteúdos maliciosos, com redirecionamentos também sendo usados caso a validação de identidade não seja bem-sucedida.

Essa arquitetura, apontam os especialistas, mostram a sofisticação de um bando que, há alguns anos, vem intensificando seus ataques contra alvos políticos e econômicos de interesse da Coreia do Sul. Outras ofensivas também envolvem a disseminação de malwares customizados para organizações específicas e o uso de extensões maliciosas do Google Chrome para roubar e-mails e dados das vítimas.

A Kaspersky divulgou uma lista parcial de e-mails, com possíveis alvos suprimidos. Indicadores de comprometimento também estão disponíveis no alerta emitido pela empresa de segurança.

Fonte: Canaltech

Trending no Canaltech: