Seul — InkDesign News — Um novo ataque cibernético promovido por um grupo de ameaças persistentes avançadas (APTs) da Coreia do Norte foi identificado, utilizando infostealers, backdoors e ransomware direcionados a alvos na Coreia do Sul.
Vetor de ataque
Os ataques começam tipicamente com e-mails de phishing disfarçados de notificações sobre mudanças de códigos postais, engajando vítimas com informações aparentemente importantes. Segundo pesquisa do S2W, aqueles que acessam os documentos falsos acabam baixando “NubSpy”, um backdoor que se comunica via o serviço de nuvem “PubNub”. Esses vetores são utilizados para enviar comandos e controlar as infecções sem levantar suspeitas.
Impacto e resposta
Entre as ferramentas utilizadas, destacam-se: “FadeStealer”, que coleta dados de dispositivos removíveis e gravações de tela; “LightPeek”, um stealer em PowerShell, e “TxPyLoader”, que executa injeção de malware em processos legítimos do Windows por meio de uma técnica chamada “transacted hollowing”. “Este enfoque parece estratégico em vez de excessivo”, disse Robert Han, diretor da S2W USA.
A abordagem “reduz o ‘ruído’ ao implementar múltiplas ferramentas, garantindo persistência mesmo se um componente for detectado e removido.
(“This approach appears strategic rather than excessive.”)— Robert Han, Diretor, S2W USA
Análise e recomendações
A nova forma de ransomware chamada “VCD” se destaca, pois criptografa arquivos com a extensão “.vcd” e é adaptada para seus alvos, incluindo notas de resgate em inglês e coreano. A abordagem reforça a sinergia entre espionagem e monetização, que reflete tendências crescentes na Coreia do Norte. É recomendado que as organizações na Coreia do Sul adotem práticas rigorosas de cibersegurança, como autenticação multifatorial e treinamentos contínuos de reconhecimento de phishing.
Esses ataques prevêem uma evolução nas estratégias cibernéticas, combinando ferramentas voltadas para espionagem com malware motivado financeiramente, permitindo objetivos simultâneos e impactando o cenário no sudeste asiático.
Fonte: (Dark Reading – Segurança Cibernética)
