Brasil é alvo listado em ciberataques contra apoiadores norte-coreanos

Uma campanha de instalação de backdoors nos computadores de apoiadores da Coreia do Norte usa um falso codec de vídeo como porta de entrada. No golpe, sites a favor do regime eram comprometidos pelos criminosos, que indicavam a necessidade de instalação de softwares para assistir a vídeos publicados nos domínios; o software legítimo acompanhava a porta de entrada para os criminosos.

• Como saber se um site é seguro
• 15% dos usuários de internet sofreram ataques durante 2022

É um ataque conhecido como watering hole, que na tradução literal quer dizer “bebedouro” e diz respeito a uma técnica em que páginas comumente acessadas pelos usuários são reconhecidas pelos criminosos para comprometimento. Assim, aumentam as chances de ataques bem-sucedidos a alvos específicos, que neste caso, seriam entusiastas do regime norte-coreano residentes no Japão e China.

O mais curioso da campanha denunciada pelos especialistas em segurança da Trend Micro é que, além de IPs dos dois países, os golpes também atingiam usuários do Brasil. A presença de nosso país na lista seria em caráter de testes, com os criminosos usando VPNs que redirecionam o tráfego para endereços daqui como forma de experimentar as configurações de localização da campanha. Caso o visitante fosse de qualquer outro lugar, nada acontecia e o acesso às páginas era liberado normalmente.

No caso dos alvos desejados, a exibição de vídeos era bloqueada, com uma mensagem de erro indicando a necessidade de download de um codec de vídeo. Uma versão real do pacote AVC1 era utilizada, mas trazia também uma backdoor conhecida como WhiskerSpy e relativamente nova no segmento cibercriminoso, capaz de capturar imagens da tela, dados digitados e informações do navegador Chrome, além de se comunicar com servidores sob o comando dos bandidos para um possível download de outros malwares e envio de dados.

Como forma de estabelecer permanência no computador, o vírus se disfarçava como uma extensão de ajuda para o navegador do Google, além de se esconder no diretório dedicado ao serviço de cloud OneDrive. Assim, a praga permanece à disposição dos criminosos, que podem a controlar a partir de sua própria infraestrutura a partir de contatos periódicos feitos por protocolo HTTPS, que aumenta ainda mais a furtividade do ataque.

De acordo com a Trend Micro, a onda de ataques está associada a uma quadrilha chamada Earth Kitsune. O grupo estaria atuando desde 2019 contra alvos partidários da Coreia do Norte, já tendo realizado ataques direcionados semelhantes ao descrito agora, que estaria em andamento desde dezembro de 2022.

Os especialistas recomendação atenção aos alvos em potencial e indicam os vetores de comprometimento como raros, com indicadores divulgados ajudando a identificar a presença do WhiskerSpy em computadores e redes. Além disso, a Trend Micro aponta para uma evolução constante nas ameaças representadas pelo Earth Kitsune, que deve continuar a ser um risco relevante relacionado a atividades governamentais ligadas a interesses contrários aos da Coreia do Norte.

Fonte: Trend Micro