GELCAPSULE
Você ficaria surpreso com o número de campanhas de hackers de alto nível vindas da Coréia do Norte, considerando o quão restrito é o acesso à Internet por lá. No passado, havia apenas um grupo de hackers de destaque originário da Coréia do Norte, e esse era o grupo Lazarus. No entanto, recentemente, houve uma nova estrela no horizonte - o grupo de hackers ScarCruft, que também é conhecido como APT37 (Ameaça Persistente Avançada).
Índice
Técnicas de Auto-Preservação
O grupo de hackers ScarCruft tem um arsenal em expansão de ferramentas de hackers. Entre eles está o downloader do Trojan GELCAPSULE. Foi determinado que essa ameaça é capaz de reconhecer se está sendo executada em um ambiente sandbox. Caso seja, como método de autopreservação, o Trojan GELCAPSULE interromperá sua atividade. Este Trojan downloader também é conhecido por sua capacidade de permanecer sob o radar das soluções antivírus. Os pesquisadores de malware determinaram que o downloader do Trojan GELCAPSULE está sendo usado para fornecer mais uma das ferramentas do grupo ScarCruft - o malware SLOWDRIFT. Essa campanha está concentrada principalmente no território da Coréia do Sul. A maioria dos alvos do grupo de hackers ScarCruft costuma ser de alto escalão.
Método de Propagação
O método de propagação escolhido pelos autores do Trojan GELCAPSULE é por meio de arquivos com macros anexados a e-mails falsos. Para convencer seus alvos a baixar e abrir o arquivo anexado, o grupo de hackers ScarCruft certificou-se de personalizar a mensagem que acompanha o anexo infectado especificamente.
Conhecido por Implantar Três Ameaças Adicionais
Os pesquisadores de malware estudaram o Trojan GELCAPSULE e puderam detectar o malware adicional, que essa ameaça implanta no host comprometido. Em particular, foram identificadas três ferramentas de hackers - KARAE, ZUMKONG e POORAIM. Depois de dissecar essas ameaças, os especialistas em segurança cibernética foram capazes de detectar a que finalidade eles servem. A ferramenta de hackers KARAE é um backdoor básico de Trojan, usado para fornecer malware adicional ao sistema infectado. Ele também pode coletar informações sobre o host e enviá-lo de volta para os atacantes. O ZUMKONG é classificado como um infostealer que visa credenciais de login salvas em navegadores populares da Web, como Google Chrome e Internet Explorer especificamente. A ameaça POORAIM é um Trojan backdoor, que serve para permitir que seus operadores façam capturas de tela dos desktops do host infectado, baixem, executam e navegam em arquivos e coletam dados. Essa ferramenta de hackers recebe comandos usando um método bastante desatualizado - o serviço de mensagens da AOL.
O grupo de hackers ScarCruft está ganhando cada vez mais força, e o fato de o governo norte-coreano provavelmente os empregar significa que eles são um nome reconhecido no mundo do crime cibernético, e que continuaremos vendo suas campanhas no futuro certamente.
