vacina-covid.jpg

Malware norte-coreano é usado para roubar dados de vacinas contra covid-19

Da Redação
03/11/2020

Pesquisadores de segurança descobriram um novo malware norte-coreano sendo usado para roubar informações de fabricantes de vacinas contra a covid-19 e outros alvos. A descoberta foi feita pela equipe da empresa de segurança cibernética Cybereason Nocturnus, que conseguiu rastrear uma nova infraestrutura de ataque ligada ao grupo Kimsuky por meio de malware BabyShark e AppleSeed anteriormente atribuído ao grupo.

Os novos domínios criados como parte dessa campanha foram todos registrados no mesmo endereço IP responsável pelos ataques do BabyShark, disse a Cybereason.

Durante a investigação, os pesquisadores descobriram um novo pacote de malware chamado “KGH”, disseminado por meio de documentos do Word anexados em e-mails de phishing e contendo vários módulos de spyware. Os destinatários são incentivados a abrir o anexo, que diz conter entrevista com um desertor norte-coreano ou uma carta endereçada ao ex-primeiro-ministro japonês, Shinzo Abe.

O módulo infostealer da KGH, que permaneceu sem ser detectado pelas ferramentas AV no momento da escrita, coleta dados de navegadores, Windows Credential Manager, WINSCP e clientes de email.

Veja isso
Ataque trava fabricante de vacina covid no Brasil e mais 4 países
EUA acusam hackers chineses de roubar dados sobre vacina da covid-19

Separadamente, a Cybereason detectou um novo downloader, “CSPY”, que “é embalado com técnicas de evasão robustas destinadas a garantir que a ‘costa está limpa’ e que o malware não é executado em um contexto de uma máquina virtual ou ferramentas de análise — antes ele continua baixando cargas secundárias”.

Depois que as cargas são baixadas, elas são removidas e renomeadas, a carga útil principal se mascara como um serviço legítimo do Windows e explora uma técnica de desvio do UAC (controle de conta do usuário) conhecido usando a tarefa SilentCleanup para executar o código binário com privilégios elevados.

A Cybereason revelou recursos adicionais projetados para confundir os pesquisadores, incluindo a manipulação de carimbos de data/hora e dados de compilação de arquivos para impedir a perícia. Nesse caso, a maioria dos arquivos foi falsamente datada de 2016.

Além dos fabricantes de vacinas contra a covid-19, o grupo aparentemente tem como alvo o Conselho de Segurança da ONU, o governo sul-coreano, institutos de pesquisa, grupos de reflexão, jornalistas e militares.

Compartilhar: