Hackers norte-coreanos espalham backdoor em PowerShell gerado por IA

Hackers norte-coreanos conhecidos pelo grupo Konni espalham malware em PowerShell gerado por ferramentas de inteligência artificial (IA) generativas. O intuito, segundo observado pela Check Point Research, é roubar informações de equipes de engenharia de blockchain.

• Novo ransomware Osiris agora usa drivers para atacar usuários
• Microsoft alerta para erro de programação que congela o Outlook no iOS

Com uma trajetória criminosa datada de 2014, o Konni começou a campanha de spear-phishing em meados de janeiro, com a Check Point identificando a maioria dos casos no Japão, na Austrália e na Índia.

Os especialistas observaram durante as investigações que o grupo distribui e-mails direcionados a engenheiros com links maliciosos de publicidade que, para parecerem inofensivos, chegam associados às plataformas do Google e do Naver. Dessa maneira, os hackers conseguem burlar filtros de segurança na plataforma para distribuir um trojan de acesso remoto chamado EndRAT.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

IA no comando

Disfarçadas de alertas financeiros, como falsas solicitações ou confirmações de transferências, os e-mails enganam as equipes visadas para que elas baixem um arquivo ZIP por meio do link malicioso. Ao fazer a instalação, o arquivo revela um atalho do Windows (LNK) projetado para executar um script AutoIt que está disfarçado de um simples documento PDF.

O script é justamente o EndRAT, que inicia um loader do PowerShell que extrai documentos do Microsoft Word para distrair a vítima. É durante esse momento de distração que o backdoor é instalado no dispositivo, executando uma série de ações maliciosas para elevar seus privilégios dentro do sistema.

O backdoor também instala o SimpleHelp uma ferramenta legítima de monitoramento e gerenciamento remoto que, além de estabelecer persistência, se comunica com um servidor C2 criptografado que envia metadados do usuário periodicamente para o domínio hacker.

O que fez os especialistas se surpreenderem com o ataque foram os indícios encontrados de que o backdoor em PowerShell foi criado a partir do uso de ferramentas generativas de IA. Segundo a Check Point, isso mostra um esforço para “acelerar o desenvolvimento e padronizar o código” do malware, garantindo ataques automatizados com engenharia social.

Leia também:

• Curl remove recompensas por bugs devido a excesso de relatos de IA
• Hackers usam IA para espalhar malware via anúncios no Android
• VoidLink, malware nativo à nuvem, foi gerado por uma só pessoa usando IA