FPSpy Malware
Grupos de ameaças ligados à Coreia do Norte foram identificados utilizando duas ferramentas recentemente desenvolvidas conhecidas como KLogEXE e FPSpy. Esta atividade foi conectada a um ator de ameaça conhecido como Kimsuky, também reconhecido sob pseudônimos como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Sparkling Pisces, Springtail e Velvet Chollima. Essas novas ferramentas expandem o já considerável kit de ferramentas do Sparkling Pisces, refletindo a evolução contínua e a crescente sofisticação do grupo.
Índice
Um Autor de Ameaças Sofisticado que Opera Há Mais de Uma Década
Ativo desde pelo menos 2012, o agente de ameaças tem sido chamado de "rei do spear phishing" por sua capacidade de enganar as vítimas para que baixem malware enviando e-mails que fazem parecer que são de partes confiáveis. A análise dos pesquisadores da infraestrutura do Kimsuki revelou dois novos executáveis portáteis chamados KLogEXE e FPSpy.
Essas cepas de malware são conhecidas por serem entregues principalmente por meio de ataques de spear-phishing. Com base nas informações disponíveis, parece que os operadores malignos dessa campanha favorecem ataques de engenharia social na forma de e-mails de spear-phishing enviados a seus alvos."
Esses e-mails cuidadosamente elaborados têm uma linguagem projetada para atrair os alvos a baixar um arquivo ZIP anexado ao e-mail. Os alvos são frequentemente encorajados a extrair arquivos corrompidos, que após a execução invocam a cadeia de infecção – eventualmente entregando essas cepas de malware.
O FPSpy é Equipado com Vários Recursos Invasivos
Acredita-se que o FPSpy seja uma variante de um backdoor exposto pela primeira vez pelo AhnLab em 2022, mostrando semelhanças com uma ameaça documentada pela Cybereason sob o nome KGH_SPY no final de 2020. Além do keylogging, o FPSpy foi projetado para coletar detalhes do sistema, baixar e implantar cargas úteis adicionais, executar comandos arbitrários e escanear unidades, pastas e arquivos no sistema comprometido.
Enquanto isso, o KLogExe, outra ameaça recém-identificada, é uma adaptação em C++ de um keylogger baseado em PowerShell chamado InfoKey, previamente sinalizado pelo JPCERT/CC em uma campanha Kimsuky visando entidades japonesas. Esta ferramenta é equipada para capturar e exfiltrar dados sobre aplicativos ativos, pressionamentos de tecla e movimentos do mouse na máquina afetada.
Uma Campanha de Ataque Altamente Direcionada
Especialistas em segurança cibernética identificaram similaridades no código-fonte do KLogExe e do FPSpy, indicando que eles provavelmente foram desenvolvidos pelo mesmo autor. Embora Kimsuky tenha um histórico de mirar em várias regiões e setores, esta campanha em particular parece focada em organizações no Japão e na Coreia do Sul.
Dada a natureza direcionada e seletiva dessas operações, os pesquisadores concluíram que é improvável que a campanha seja disseminada. Em vez disso, ela parece confinada a indústrias específicas e limitada principalmente ao Japão e à Coreia do Sul.
