Criminosos usam sistema de verificação para atingir apenas vítimas em potencial

Cibercriminosos estão usando sistemas de verificação semelhantes aos de plataformas legítimas de autenticação para garantir que suas ofensivas de malware sejam acessadas apenas por vítimas em potencial. A tática foi descoberta em campanhas disseminadas por um grupo chamado Kimsuky, que teria ligações com o governo da Coreia do Norte e atuaria em seu nome em ataques de espionagem política.

• Países investem mais em espionagem digital e ataques contra inimigos políticos
• Ataques virtuais | Maior parte tem motivação econômica, e espionagem cresce

As técnicas envolvem mecanismos semelhantes, por exemplo, ao do conceito de segurança zero-trust, que leva em conta geolocalização, links específicos, endereços der e-mail e outros parâmetros para filtrar os acessos. A tática é eficaz ao ponto de especialistas da Kaspersky, empresa de segurança que revelou a dinâmica, não terem conseguido acesso aos vírus mesmo conectados aos servidores usados pelos criminosos para disponibilização.

As campanhas com esse formato estariam acontecendo desde o início deste ano, com foco principalmente na Coreia do Sul. Políticos, empresários do setor de defesa, diplomatas, professores universitários e jornalistas seriam os principais alvos, que recebem e-mails de phishing com documentos anexados ou para download, que trazem comandos que executam a instalação das pragas nos dispositivos das vítimas.

Os mesmos servidores que contém os vírus, entretanto, fazem checagens que envolvem a localização do acesso, sistema operacional e dispositivo utilizado. Essa checagem acontece em diferentes etapas: na primeira, o tal documento é exibido e contém macros que não apenas abrem para o segundo estágio de infecção, mas também envia o endereço de IP da vítima como forma de confirmar que ele é, realmente, um dos alvos pretendidos, criando uma identidade que é checada posteriormente para conclusão da contaminação.

Segundo a Kaspersky, outros métodos inventivos são usados como forma de esconder infraestruturas e malwares dos especialistas e autoridades. Páginas falsas em serviços de criação de blogs, por exemplo, são criadas em nome de cada vítima para servir os conteúdos maliciosos, com redirecionamentos também sendo usados caso a validação de identidade não seja bem-sucedida.

Essa arquitetura, apontam os especialistas, mostram a sofisticação de um bando que, há alguns anos, vem intensificando seus ataques contra alvos políticos e econômicos de interesse da Coreia do Sul. Outras ofensivas também envolvem a disseminação de malwares customizados para organizações específicas e o uso de extensões maliciosas do Google Chrome para roubar e-mails e dados das vítimas.

A Kaspersky divulgou uma lista parcial de e-mails, com possíveis alvos suprimidos. Indicadores de comprometimento também estão disponíveis no alerta emitido pela empresa de segurança.

Fonte: Kaspersky