ZUMKONG
O infostealer ZUMKONG é uma ferramenta de hackers que faz parte do arsenal do infame APT37 (Ameaça Persistente Avançada). Esse grupo de hackers também é conhecido sob o pseudônimo ScarCruft. Pesquisadores de malware determinaram que esse grupo de indivíduos está localizado na Coréia do Norte e provavelmente está fazendo o lance de Kim Jong-Un como mercenários contratados pelo governo. Portanto, faz sentido porque a maioria das vítimas do grupo APT37 são organizações sul-coreanas e indivíduos em posições influentes.
Índice
Método de Propagação
É provável que o grupo de hackers ScarCruft esteja usando campanhas de email de spam para propagar a maioria de suas ameaças, pois esse parece ser o vetor de infecção preferido. Os e-mails geralmente são elaborados com cuidado, uma vez que não tendem a atingir usuários comuns, mas funcionários de alto escalão ou grandes corporações de órgãos governamentais. O conteúdo desses e-mails é feito para parecer genuíno e induzir o usuário a abrir um arquivo com potencial macro-atado, que pode estar anexado à mensagem.
Como o Trojan SLOWDRIFT Funciona
Depois de estudar as campanhas, que envolveram o infostealer ZUMKONG, os especialistas em malware descobriram que essa ameaça foi espalhada com a ajuda de outra ferramenta do APT37 - o Trojan downloader SLOWDRIFT. Essas duas ameaças funcionam perfeitamente em uníssono - o Trojan SLOWDRIFT se infiltra no sistema de destino, alimenta os invasores com informações sobre o host e escolhe qual outra ferramenta de hackers deve usar nesta operação. Nesse caso, o grupo ScarCruft optou por implantar o malware ZUMKONG. O downloader do Trojan SLOWDRIFT prepara o caminho para o infostealer ZUMKONG comprometer o sistema como uma carga útil de segundo estágio. Sabe-se que o grupo de hackers ScarCruft tem uma afinidade por furtividade, portanto é provável que a vítima nem sequer veja as atividades prejudiciais do malware ZUMKONG.
Recursos
Os recursos completos do malware ZUMKONG ainda não foram descobertos. No entanto, sabe-se que essa ameaça pode coletar dados como:
- Cookies.
- Detalhes das configurações do Google Chrome.
- Detalhes das configurações do Internet Explorer.
- Nomes de usuário e senhas.
Os dados coletados são desviados para os atacantes através da rede de um serviço de e-mail russo genuíno chamado 'mail.zmail.ru'.
O grupo APT37 tem uma lista impressionante de ferramentas que continua se expandindo e, com o financiamento do governo norte-coreano, esses indivíduos obscuros certamente continuarão suas campanhas no futuro.
