forceCopy Stealer
O grupo de hackers Kimsuky, ligado à Coreia do Norte, foi encontrado usando ataques de spear-phishing para distribuir um malware recém-identificado para roubo de informações chamado forceCopy. Esses ataques começam com e-mails de phishing que contêm um arquivo de atalho do Windows (LNK) disfarçado, feito para parecer um documento do Microsoft Office ou PDF. Destinatários desavisados que abrem o arquivo sem saber desencadeiam uma reação em cadeia que executa comandos maliciosos.
Índice
Explorando Ferramentas Legítimas para Entregar Cargas Úteis Ameaçadoras
Uma vez que o usuário interage com o anexo prejudicial, o processo de infecção começa executando o PowerShell ou 'mshta.exe', um utilitário legítimo do Windows usado para executar arquivos HTML Application (HTA). Essa técnica permite que os invasores busquem e implantem cargas de malware adicionais de uma fonte externa sem levantar suspeitas.
Implantando Trojans e Ferramentas Remotas na Área de Trabalho
Os ataques, em última análise, resultam na implantação de ameaças conhecidas, incluindo o Trojan PEBBLEDASH e uma versão modificada do RDP Wrapper, uma ferramenta de código aberto usada para acesso remoto à área de trabalho. Junto com isso, o malware proxy é introduzido para garantir uma conexão contínua entre o dispositivo comprometido e a rede externa dos invasores via Remote Desktop Protocol (RDP).
Um Keylogger e o forceCopy: Visando Credenciais Armazenadas
Kimsuky também foi visto usando um keylogger baseado em PowerShell para capturar pressionamentos de tecla, aumentando ainda mais sua capacidade de roubar informações confidenciais. Além disso, o malware forceCopy recém-descoberto é projetado especificamente para extrair arquivos armazenados em diretórios de navegadores da web. Isso sugere uma tentativa de contornar restrições de segurança e acessar diretamente os arquivos de configuração do navegador onde as credenciais de login são frequentemente armazenadas.
Uma Mudança Estratégica: Usando o RDP para Controlar o Host
A dependência do grupo no RDP Wrapper e no proxy malware destaca uma mudança tática em suas operações. Anteriormente, a Kimsuky usava principalmente backdoors personalizados para controlar sistemas infectados. Agora, ao alavancar ferramentas amplamente disponíveis, eles visam manter a persistência enquanto reduzem as chances de detecção.
APT43: Uma Ameaça de Espionagem Cibernética de Longa Data
Acredita-se que Kimsuky, também conhecido por pseudônimos como APT43, Black Banshee e Emerald Sleet, opera sob o Reconnaissance General Bureau (RGB) da Coreia do Norte, o principal serviço de inteligência estrangeira do país. Ativo desde pelo menos 2012, o grupo tem um longo histórico de execução de ataques sofisticados de engenharia social para contornar defesas de segurança de e-mail.
Expansão das Operações com Campanhas de Phishing Baseadas na Rússia
Descobertas recentes indicam que o Kimsuky tem usado e-mails de phishing enviados de serviços de e-mail russos para realizar campanhas de roubo de credenciais. Essa adaptação, observada em dezembro de 2024, reflete as táticas em evolução do grupo, à medida que ele continua a refinar suas técnicas de engenharia social para atingir indivíduos e organizações de alto valor.
