Google revela nova operação de ataque contra profissionais de segurança

Por Felipe Demartini | 01 de Abril de 2021 às 20h30
Reprodução/Pixabay (TheDigitalArtist)

Pesquisadores do Google trouxeram à público mais uma campanha de ataques digitais que parece focar nos especialistas em segurança. Os responsáveis seriam os mesmos de uma operação detonada originalmente em janeiro, que usava brechas conhecidas em navegadores populares para comprometer máquinas usadas pelos profissionais, instalar malwares e extrair dados pessoais e credenciais de acesso.

Mais uma vez, também, o caso parece estar relacionado à ação de criminosos sob o comando do governo da Coreia do Norte. Não apenas o modo de operação é semelhante à campanha anterior, com perfis em redes sociais e sites falsos de supostos serviços de segurança, mas indicações em tais contas também fazem menções nada sutis a grupos conhecidos que trabalham para o país asiático.

É o caso, por exemplo, de Sebastian Lazarescue, um suposto pesquisador em segurança de uma empresa chamada Securielite, de origem turca. A companhia oferece serviços de análise em segurança digital, avaliação de riscos a partir de explorações comuns e testes de penetração em um site com aparência de legitimidade, enquanto pelo Twitter e LinkedIn, o indivíduo citado adiciona colegas e divulga oportunidades.

Alguns dos perfis falsos usados em campanha contra especialistas em segurança, na tentativa de roubar dados e obter acesso a sistemas restritos (Imagem: Reprodução/Google)

Entretanto, quem acompanha o noticiário vai notar uma peculiaridade no sobrenome, que remete ao Grupo Lazarus, uma das principais forças de combate digital ligadas ao governo norte-coreano. A nova campanha envolve sete contas no Twitter e outras seis no LinkedIn, além dos perfis corporativos da própria SecuriElite. Todos se seguem e interagem entre si, como mais uma forma de dar aparência de legitimidade a toda a ação.

Por trás da ação, está a ativação de explorações nos navegadores como forma de instalar malwares e obter credenciais de acesso a sistemas, principalmente, corporativos. Entretanto, segundo o Google, os trabalhos parecem estarem em uma etapa preliminar, já que, por mais que a brecha esteja presente, conteúdos maliciosos ainda não estão sendo servidos pelos sites ou perfis associados à campanha.

A empresa disse, ainda, que informou às redes sociais sobre a existência dos perfis falsos e adicionou os domínios ligados à SecuriElite à lista do Chrome, de forma que um aviso aos usuários seja exibido no momento do acesso. Ainda assim, a recomendação é de cautela já que o preparo para uma nova operação pode indicar a posse de novas explorações, malwares e, principalmente, aberturas zero-day ainda não conhecidas, que podem ser utilizadas em ataques pelo Lazarus Group.

Em janeiro, após a revelação da primeira onda de ataques, o governo da Coreia do Norte negou envolvimento em operações digitais contra pesquisadores em segurança. O país ainda não se pronunciou sobre esta nova onda de tentativas.

Fonte: Google

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.