ForceCopy Stealer
S'ha trobat que el grup de pirateria informàtica Kimsuky, vinculat a Corea del Nord, utilitza atacs de pesca per distribuir un programari maliciós que roba informació recentment identificat anomenat forceCopy. Aquests atacs comencen amb correus electrònics de pesca que contenen un fitxer de drecera de Windows (LNK) disfressat, fet per aparèixer com un document de Microsoft Office o PDF. Els destinataris desprevinguts que obren el fitxer sense saber-ho desencadenen una reacció en cadena que executa ordres malicioses.
Taula de continguts
Explotant eines legítimes per oferir càrregues útils amenaçadores
Un cop l'usuari interactua amb el fitxer adjunt nociu, el procés d'infecció comença executant PowerShell o "mshta.exe", una utilitat legítima de Windows que s'utilitza per executar fitxers d'aplicació HTML (HTA). Aquesta tècnica permet als atacants obtenir i desplegar càrregues útils addicionals de programari maliciós d'una font externa sense generar sospita.
Desplegament de troians i eines d'escriptori remot
Els atacs finalment donen lloc al desplegament d'amenaces conegudes, inclòs el troià PEBBLEDASH i una versió modificada de RDP Wrapper, una eina de codi obert que s'utilitza per accedir a l'escriptori remot. Al costat d'aquests, s'introdueix programari maliciós proxy per garantir una connexió contínua entre el dispositiu compromès i la xarxa externa dels atacants mitjançant el protocol d'escriptori remot (RDP).
Un Keylogger i forceCopy: orientació a credencials emmagatzemades
També s'ha vist que Kimsuky utilitza un keylogger basat en PowerShell per capturar les pulsacions de tecles, millorant encara més la seva capacitat per robar informació sensible. A més, el programari maliciós forceCopy recentment descobert està dissenyat específicament per extreure fitxers emmagatzemats als directoris del navegador web. Això suggereix un intent de saltar les restriccions de seguretat i accedir directament als fitxers de configuració del navegador on sovint s'emmagatzemen les credencials d'inici de sessió.
Un canvi estratègic: ús de RDP per al control de l'amfitrió
La dependència del grup en RDP Wrapper i programari maliciós proxy posa de manifest un canvi tàctic en les seves operacions. Anteriorment, Kimsuky utilitzava principalment portes posteriors personalitzades per controlar els sistemes infectats. Ara, aprofitant eines àmpliament disponibles, pretenen mantenir la persistència alhora que redueixen les possibilitats de detecció.
APT43: Una amenaça de ciberespionatge de llarga durada
Es creu que Kimsuky, també conegut per àlies com APT43, Black Banshee i Emerald Sleet, opera sota l'Oficina General de Reconeixement (RGB) de Corea del Nord, el principal servei d'intel·ligència exterior del país. Actiu des del 2012, com a mínim, el grup té un llarg historial d'execució d'atacs d'enginyeria social sofisticats per evitar les defenses de seguretat del correu electrònic.
Ampliació de les operacions amb campanyes de pesca amb base a Rússia
Descobriments recents indiquen que Kimsuky ha estat utilitzant correus electrònics de pesca enviats des dels serveis de correu electrònic russos per dur a terme campanyes de robatori de credencials. Aquesta adaptació, observada el desembre de 2024, reflecteix l'evolució de les tàctiques del grup a mesura que segueix perfeccionant les seves tècniques d'enginyeria social per orientar-se a persones i organitzacions d'alt valor.
