Pesquisadores da Kaspersky anunciaram a descoberta de um malware usado por hackers para ataques contra jornalistas, desertores da Coreia do Norte e ativistas dos Direitos Humanos. Até então desconhecido, o software malicioso foi apelidado de Chinotto (espécie de refrigerante de laranja italiano), sendo operado pelo grupo ScarCruft que, segundo as informações, é apoiado pelo governo norte-coreano e está ativo desde pelo menos 2012.
A investigação da Kaspersky foi possível após um serviço de notícias sediado em Seul, capital da Coreia do Sul, solicitar assistência técnica da empresa especializada em segurança cibernética. Entre agosto e setembro deste ano, uma investigação da NK News descobriu conexões entre o esquema de phishing vinculado à Coreia do Norte contra um desertor do país e outros ataques contra jornalistas do site e seus perfis nas redes sociais.
Como resultado das análises, os pesquisadores tiveram a oportunidade de realizar uma investigação mais profunda em um computador comprometido pelo ScarCruft – que também é conhecido como APT37, Group123 e Temp.Reaper. Foram encontradas evidências de que o grupo invasor já havia roubado os dados da vítima e rastreado suas ações por meses.
Ronnie Mancuzo ter., 30 de novembro de 2021 5:38 PM·3 min de leitura Com foco em jornalistas e desertores do governo, hackers apoiados pela Coreia do Norte usam malware em dispositivos Windows e Android Com foco em jornalistas e desertores do governo, hackers apoiados pela Coreia do Norte usam malware em dispositivos Windows e Android Pesquisadores da Kaspersky anunciaram a descoberta de um malware usado por hackers para ataques contra jornalistas, desertores da Coreia do Norte e ativistas dos Direitos Humanos.
Até então desconhecido, o software malicioso foi apelidado de Chinotto (espécie de refrigerante de laranja italiano), sendo operado pelo grupo ScarCruft que, segundo as informações, é apoiado pelo governo norte-coreano e está ativo desde pelo menos 2012. A investigação da Kaspersky foi possível após um serviço de notícias sediado em Seul, capital da Coreia do Sul, solicitar assistência técnica da empresa especializada em segurança cibernética.
Entre agosto e setembro deste ano, uma investigação da NK News descobriu conexões entre o esquema de phishing vinculado à Coreia do Norte contra um desertor do país e outros ataques contra jornalistas do site e seus perfis nas redes sociais. Como resultado das análises, os pesquisadores tiveram a oportunidade de realizar uma investigação mais profunda em um computador comprometido pelo ScarCruft – que também é conhecido como APT37, Group123 e Temp.Reaper. Foram encontradas evidências de que o grupo invasor já havia roubado os dados da vítima e rastreado suas ações por meses.
Três versões do malware e controle simultâneo
A análise revelou o uso de três versões do malware Chinotto: PowerShell, executável do Windows e aplicativo Android. Todas as versões contendo o mesmo esquema de comando e controle (C&C) e usando protocolo HTTP para comunicação. Isso significa que, podendo controlar toda a família do malware por meio de um só conjunto de scripts, os hackers conseguiam infectar simultaneamente o computador e o telefone das vítimas, por exemplo.
Os operadores do Chinotto podiam superar a autenticação de dois fatores em mensageiros ou e-mail, roubando mensagens SMS e outras informações confidenciais dos dispositivos. Por meio das redes sociais e contas de e-mail comprometidas, os invasores também tentaram coletar informações e atacar as conexões das vítimas.
Os criminosos fizeram uso de um método direcionado de phishing (spear phishing), com o envio de um documento contendo uma macro maliciosa e uma carga útil para um processo de infecção em vários estágios. Entre os estágios, havia verificação de sistema de segurança, acesso confiável ao Visual Basic Application (VBA) e descarga da carga útil.
Após a infecção inicial, os atacantes entregavam o malware Chinotto e então podiam controlar e exfiltrar informações confidenciais das vítimas.
Os alvos eram as pessoas
Com o malware, os criminosos conseguiam fazer download e upload de arquivos das vítimas, remover arquivos, arquivar diretórios e extrair ilegalmente informações de um sistema afetado. Além disso, o malware foi capaz de fazer capturas de tela e executar comandos do Windows, entre outras ações.
A versão Android do Chinotto pedia várias permissões para coletar informações confidenciais, como contatos, mensagens, registros de chamadas, dados do dispositivo e gravações de áudio. Nesses casos, o malware provavelmente era implantado por meio de ataques de smishing (phishing de SMS).
Para dificultar análises, o malware contava com uma grande quantidade de códigos de lixo. Durante a análise, os especialistas da Kaspersky também identificaram quatro outras vítimas, todas localizadas na Coreia do Sul, e servidores da Web comprometidos que estavam em uso desde o início de 2021.
De acordo com a pesquisa, os alvos da ameaça são indivíduos, e não empresas ou organizações específicas. “Muitos jornalistas, desertores e ativistas dos Direitos Humanos são alvos de ataques cibernéticos sofisticados”, disse Seongsu Park, principal pesquisador de segurança da equipe de pesquisa e análise global da Kaspersky. “No entanto, eles geralmente não têm as ferramentas para se defender e responder a tais ataques de vigilância”.
