Criminosos usam sistema de verificação para atingir apenas vítimas em potencial
Por Felipe Demartini • Editado por Claudio Yuge |
Cibercriminosos estão usando sistemas de verificação semelhantes aos de plataformas legítimas de autenticação para garantir que suas ofensivas de malware sejam acessadas apenas por vítimas em potencial. A tática foi descoberta em campanhas disseminadas por um grupo chamado Kimsuky, que teria ligações com o governo da Coreia do Norte e atuaria em seu nome em ataques de espionagem política.
- Países investem mais em espionagem digital e ataques contra inimigos políticos
- Ataques virtuais | Maior parte tem motivação econômica, e espionagem cresce
As técnicas envolvem mecanismos semelhantes, por exemplo, ao do conceito de segurança zero-trust, que leva em conta geolocalização, links específicos, endereços der e-mail e outros parâmetros para filtrar os acessos. A tática é eficaz ao ponto de especialistas da Kaspersky, empresa de segurança que revelou a dinâmica, não terem conseguido acesso aos vírus mesmo conectados aos servidores usados pelos criminosos para disponibilização.
As campanhas com esse formato estariam acontecendo desde o início deste ano, com foco principalmente na Coreia do Sul. Políticos, empresários do setor de defesa, diplomatas, professores universitários e jornalistas seriam os principais alvos, que recebem e-mails de phishing com documentos anexados ou para download, que trazem comandos que executam a instalação das pragas nos dispositivos das vítimas.
Os mesmos servidores que contém os vírus, entretanto, fazem checagens que envolvem a localização do acesso, sistema operacional e dispositivo utilizado. Essa checagem acontece em diferentes etapas: na primeira, o tal documento é exibido e contém macros que não apenas abrem para o segundo estágio de infecção, mas também envia o endereço de IP da vítima como forma de confirmar que ele é, realmente, um dos alvos pretendidos, criando uma identidade que é checada posteriormente para conclusão da contaminação.
Segundo a Kaspersky, outros métodos inventivos são usados como forma de esconder infraestruturas e malwares dos especialistas e autoridades. Páginas falsas em serviços de criação de blogs, por exemplo, são criadas em nome de cada vítima para servir os conteúdos maliciosos, com redirecionamentos também sendo usados caso a validação de identidade não seja bem-sucedida.
Essa arquitetura, apontam os especialistas, mostram a sofisticação de um bando que, há alguns anos, vem intensificando seus ataques contra alvos políticos e econômicos de interesse da Coreia do Sul. Outras ofensivas também envolvem a disseminação de malwares customizados para organizações específicas e o uso de extensões maliciosas do Google Chrome para roubar e-mails e dados das vítimas.
A Kaspersky divulgou uma lista parcial de e-mails, com possíveis alvos suprimidos. Indicadores de comprometimento também estão disponíveis no alerta emitido pela empresa de segurança.
Fonte: Kaspersky