KimJongRAT

O KimJongRAT é um Trojan RAT ou de Acesso Remoto, uma ameaça de malware que é usada para obter acesso a um computador remotamente, permitindo que os invasores controlem o dispositivo e usem-no para realizar suas próprias tarefas automaticamente. Criminosos que operam na Coréia do Norte são os que distribuem o KimJongRAT. É muito provável que os atacantes que usam o KimJongRAT estejam ligados ao governo norte-coreano, já que os alvos dos ataques do KimJongRAT parecem estar alinhados com os interesses políticos da Coreia do Norte. Atualmente, muitos ataques envolvendo o KimJongRAT parecem ter como alvo organizações e indivíduos que fazem parte dos esforços internacionais para limitar as capacidades nucleares da Coréia do Norte.

A Relação do KimJongRAT com a Ameaça do malware BabyShark

KimJongRAT é usado em conjunto com uma ferramenta de hackers conhecida como BabyShark . KimJongRAT e BabyShark visam as mesmas vítimas e trabalham juntas. O BabyShark é usado para obter acesso ao dispositivo da vítima e estabelecer uma conexão com um servidor de Comando e Controle. Também permite que os invasores obtenham informações sobre o dispositivo infectado. O KimJongRAT funciona como uma carga útil secundária que, uma vez instalada, permite que os atacantes obtenham acesso total ao dispositivo infectado e controlem-no de longe. Os atacantes podem usar esse acesso para realizar uma ampla variedade de operações, que podem variar de coleta de dados e monitoramento da vítima até o uso do dispositivo infectado para realizar outros ataques ativamente.

Os Recursos do KimJongRAT

O KimJongRAT parece ser baseado em um RAT diferente, que possui vários recursos avançados. Parece que KimJongRAT poderia ser usado para ter controle total sobre o dispositivo infectado potencialmente. No entanto, os invasores que usam o KimJongRAT estão usando apenas um pequeno número de seus recursos. Atualmente, os ataques envolvendo o KimJongRAT foram usados para coletar credenciais de login e dados armazenados no dispositivo infectado. Esses dados são armazenados em um arquivo de LOG chamado 'ttmp.log', que os criminosos podem acessar através de seu servidor de Comando e Controle. O BabyShark usa um arquivo LOG idêntico, outro sinal de que essas duas ameaças de malware foram criadas e estão sendo usadas pelas mesmas pessoas. O KimJongRAT pode ser usado para coletar senhas e informações de navegadores da Web comumente usados, incluindo programas como o Mozilla Firefox e o Google Chrome, ambos amplamente utilizados. O KimJongRAT também tem como alvo clientes de email e plataformas de mídia social. A principal razão pela qual os criminosos estão obtendo essas informações é coletar dados que podem ser usados para realizar campanhas de e-mail mais eficazes, usadas para entregar o KimJongRAT e outros malwares atualmente.

Um Resumo Final do Trojan de Acesso Remoto KimJongRAT

KimJongRAT tem sido usado desde 2018 ativamente, e é provável que continue a fazer parte do arsenal de grupos de hackers que operam na Coréia do Norte. Como o KimJongRAT é entregue principalmente por meio de campanhas de spam e-mail corrompidas, as quais entregam primeiro o BabyShark, aprender a detectar e impedir esses canais de distribuição é uma parte essencial da limitação do possível alcance de ameaças como o KimJongRAT. Além disso, os usuários de computador devem usar um programa anti-malware capaz de identificar este RAT e de bloquear suas trocas de informações com seus servidores de Comando e Controle. Os usuários de computadores em indústrias ou organizações que poderiam ser um possível alvo político de interesse para os atores norte-coreanos devem ter cuidado ao garantir que seus dispositivos e redes sejam totalmente protegidos contra essas ameaças, especialmente. Varreduras regulares e diagnósticos de rede devem ser realizados para evitar invasões. A educação também é fundamental para garantir que os usuários de computador usem senhas e medidas de segurança fortes em seus dispositivos e redes e lidem com mensagens de e-mail com segurança..