Pesquisadores de segurança descobriram um novo malware norte-coreano sendo usado para roubar informações de fabricantes de vacinas contra a covid-19 e outros alvos. A descoberta foi feita pela equipe da empresa de segurança cibernética Cybereason Nocturnus, que conseguiu rastrear uma nova infraestrutura de ataque ligada ao grupo Kimsuky por meio de malware BabyShark e AppleSeed anteriormente atribuído ao grupo.
Os novos domínios criados como parte dessa campanha foram todos registrados no mesmo endereço IP responsável pelos ataques do BabyShark, disse a Cybereason.
Durante a investigação, os pesquisadores descobriram um novo pacote de malware chamado “KGH”, disseminado por meio de documentos do Word anexados em e-mails de phishing e contendo vários módulos de spyware. Os destinatários são incentivados a abrir o anexo, que diz conter entrevista com um desertor norte-coreano ou uma carta endereçada ao ex-primeiro-ministro japonês, Shinzo Abe.
O módulo infostealer da KGH, que permaneceu sem ser detectado pelas ferramentas AV no momento da escrita, coleta dados de navegadores, Windows Credential Manager, WINSCP e clientes de email.
Veja isso
Ataque trava fabricante de vacina covid no Brasil e mais 4 países
EUA acusam hackers chineses de roubar dados sobre vacina da covid-19
Separadamente, a Cybereason detectou um novo downloader, “CSPY”, que “é embalado com técnicas de evasão robustas destinadas a garantir que a ‘costa está limpa’ e que o malware não é executado em um contexto de uma máquina virtual ou ferramentas de análise — antes ele continua baixando cargas secundárias”.
Depois que as cargas são baixadas, elas são removidas e renomeadas, a carga útil principal se mascara como um serviço legítimo do Windows e explora uma técnica de desvio do UAC (controle de conta do usuário) conhecido usando a tarefa SilentCleanup para executar o código binário com privilégios elevados.
A Cybereason revelou recursos adicionais projetados para confundir os pesquisadores, incluindo a manipulação de carimbos de data/hora e dados de compilação de arquivos para impedir a perícia. Nesse caso, a maioria dos arquivos foi falsamente datada de 2016.
Além dos fabricantes de vacinas contra a covid-19, o grupo aparentemente tem como alvo o Conselho de Segurança da ONU, o governo sul-coreano, institutos de pesquisa, grupos de reflexão, jornalistas e militares.