BabyShark

O BabyShark é uma ferramenta ameaçadora de hackers, um programa de computador que pode ser usado para realizar campanhas de malware e ataques a alvos específicos. O BabyShark foi provavelmente desenvolvido na Coréia do Norte porque o BabyShark é muito semelhante a outras duas ameaças de malware e ferramentas de hacking desenvolvidas na Coreia do Norte chamadas KimJongRAT e STOLEN PENCIL. O grupo responsável pela criação e uso do BabyShark pode ter conexões com o governo norte-coreano, principalmente porque a maioria das metas da BabyShark são alvos políticos que atendem aos interesses do governo norte-coreano. Os ataques atuais do BabyShark parecem ter como alvo organizações que foram associadas a tentativas de conter o programa nuclear da Coréia do Norte.

Como o BabyShark é Usado contra as Suas Vítimas

O BabyShark é distribuído por vários métodos de entrega. Os ataques atuais do BabyShark são principalmente implantados por meio de campanhas de e-mail de spear-phishing. As vítimas do ataque BabyShark geralmente receberão primeiro uma mensagem de e-mail com anexos de arquivos corrompidos. Os anexos de arquivo usados para entregar o BabyShark geralmente assumem a forma de documentos do Microsoft Office com scripts de macros embutidos corrompidos que baixam e instalam o BabyShark no computador da vítima. As campanhas de e-mail usadas para entregar o BabyShark podem ser bastante sofisticadas e geralmente contêm informações sobre a vítima, na tentativa de convencer a vítima a abrir o e-mail e o anexo de arquivo. Uma vez ativado o script de macro que entrega o BabyShark, o BabyShark funcionará em segundo plano para obter acesso ao computador da vítima. Um documento falso ainda será lançado para distrair a vítima do ataque.

Como o BabyShark é Usado para Realizar Ataques

Assim que o BabyShark ganhar acesso a um computador, o BabyShark fará alterações nas configurações do Registro do Windows do dispositivo infectado. O BabyShark também encerra as notificações relacionadas à execução de scripts e manipula outras configurações de segurança. O BabyShark estabelecerá uma conexão com seu servidor de Comando e Controle. Os controladores da BabyShark podem enviar instruções para o BabyShark e receber dados desta ameaça de malware usando o servidor de Comando e Controle. Os criminosos responsáveis pelo ataque BabyShark receberão informações sobre o computador infectado, o que inclui quaisquer processos de arquivo em execução no dispositivo infectado, software instalado no PC afetado, nomes de usuário, dispositivo de inicialização, software, etc. O BabyShark salva todos esses dados um arquivo de LOG chamado 'ttmp.log', ao qual os criminosos terão acesso. Os administradores do BabyShark também podem controlar o BabyShark por meio de comandos, o que pode permitir que eles executem várias tarefas inseguras no dispositivo infectado.

Um Resumo Final do BabyShark

O BabyShark tem sido usado desde 2018 ativamente, e é provável que continue a fazer parte do arsenal de grupos de hackers que operam na Coréia do Norte. Como o BabyShark é entregue principalmente por meio de campanhas de spam, aprender a detectar e evitar esses vetores de infecção é uma parte essencial da limitação do possível alcance de ameaças como o BabyShark e os agentes de ameaça responsáveis por essa ameaça. Além disso, também é importante que os usuários de computador usem um programa de segurança confiável que esteja totalmente atualizado, capaz de identificar o BabyShark e bloquear suas comunicações com seus servidores de Comando e Controle. Os usuários de computadores em indústrias ou organizações que poderiam ser um possível alvo político de interesse para os atores norte-coreanos devem ter um cuidado especial em garantir que seus dispositivos e redes estejam totalmente protegidos contra essas ameaças. Varreduras regulares e diagnósticos de rede devem ser realizados para evitar BabyShark e o uso de malwares e ferramentas de hacking semelhantes.