Malwares: A guerra entre as Coreias também é cibernética

Uma vulnerabilidade do Internet Explorer (sim, ele ainda existe!) foi usada por hackers norte-coreanos para atingir usuários sul-coreanos. Por meio das últimas notícias sobre o Halloween em Seul, capital da Coreia do Sul, eles induziram usuários a baixarem malware.  

Durante o evento, no dia 29 de outubro, ocorreu um acidente com o esmagamento de muitas pessoas no bairro de Itaewon, deixando números impressionantes de 158 mortos e 196 feridos. As vítimas eram em sua maioria jovens e adultos. 

Leia mais:

• Cuidado: Aplicativo do Google Play retransmite SMS para criar contas falsas
• Golpe no TikTok expõe nudes e rouba dados de usuários
• Cuidado com sua conta de Facebook: Novo malware Android quer roubá-la

A descoberta sobre os malwares foi relatada pelos pesquisadores do Google Threat Analysis Group, Benoît Sevens e Clément Lecigne. Este tipo de ataque é o mais recente conjunto de ataques estruturados pelo grupo ScarCruft , também chamado de APT37, InkySquid, Reaper e Ricochet Chollima. 

“O grupo historicamente focou sua segmentação em usuários sul-coreanos, desertores norte-coreanos, pessoas envolvidas com política, jornalistas e ativistas de direitos humanos”, disse a TAG em sua análise na última quinta-feira.

Outra ferramenta importante usada pelo grupo é o RokRat, um trojan de acesso remoto baseado no Windows que vem com muitas funções, como permitir capturas de tela, registrar o pressionamentos de tecla e até coletar informações de dispositivos Bluetooth.

Um dos ataques percebidos pelo Google Tag continha um documento de Word com vírus que abusava de outra falha do Internet Explorer – que já foi corrigida. Como aponta o Malware HunterTeam, o mesmo arquivo do Word foi compartilhado anteriormente pelo Shadow Chaser Group em 31 de outubro, descrevendo-o como uma “amostra interessante de modelo de injeção DOCX” originária da Coreia.

A exploração bem-sucedida é seguida pela entrega de um shellcode que limpa todos os vestígios, excluindo o cache e o histórico do Internet Explorer, bem como baixando os arquivos do próximo estágio. O Google TAG disse que não conseguiu recuperar o malware subsequente usado na campanha, embora suspeite que esteja envolvido na implantação de RokRat, BLUELIGHT ou Dolphin.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!