Pesquisadores de segurança da SentinelLabs revelaram, nesta terça-feira (06), que o grupo de hackers Kimsuky, apoiados pelo governo norte-coreano, estão se passando por jornalistas para reunir informações estratégicas. A campanha de engenharia social é direcionada a especialistas em assuntos relacionados à Coreia do Norte.
O grupo também conhecido como APT43, Thallium ou Black Banshee, tem realizado operações de coleta de informações para o regime norte-coreano desde 2012, utilizando e-mails de phishing e engenharia social. Eles são vinculados à mais recente onda de ataques que visam os assinantes do NK News, um site americano de assinaturas especializado na análise e notícias sobre a Coreia do Norte.
Os pesquisadores do SentinelLabs perceberam que o grupo Kimsuky se passou por Chad O’Carroll, fundador do NK News, enviando links falsos do Google Docs que redirecionam para sites maliciosos. O objetivo é capturar as credenciais do Google das vítimas. Em certos casos, os hackers também distribuíram um documento do Microsoft Office com malware incorporado chamado ReconShark, capaz de extrair informações detalhadas sobre o dispositivo do usuário.
Uma segunda tática envolveu um e-mail falso que solicitava que os assinantes fizessem login em um serviço de assinatura fictício do NK News. Com as credenciais de login do NK News, os hackers podem obter valiosos insights sobre como a comunidade internacional percebe os acontecimentos na Coreia do Norte. Kimsuky também foi visto enviando documentos legítimos do Google Docs e Word sem malware para construir um relacionamento com seus alvos antes de lançar um ataque malicioso.
Esse alerta de segurança vem após avisos dos governos dos EUA e da Coréia do Sul sobre o aumento da atividade de spear phishing de Kimsuky, buscando canalizar informações geopolíticas valiosas e outros dados roubados para o regime norte-coreano. O grupo se passou por jornalistas, acadêmicos, pesquisadores de think tanks e funcionários do governo para atrair indivíduos trabalhando em assuntos norte-coreanos.
O diretor de segurança cibernética da NSA, Rob Joyce, afirmou que os atores cibernéticos estão se passando por fontes legítimas para coletar informações sobre eventos geopolíticos e estratégias de política externa que interessam à Coreia do Norte. Ele reforçou a importância da educação e conscientização como primeiras linhas de defesa contra esses ataques de engenharia social.
O Ministério das Relações Exteriores da Coreia do Sul também impôs sanções ao grupo de hackers norte-coreano e identificou dois endereços de criptomoedas usados por Kimsuky. O grupo também foi acusado de estar envolvido no lançamento fracassado de um satélite espião na semana passada. As ações dos hackers representam uma ameaça contínua e evolutiva à segurança cibernética mundial, com organizações e indivíduos sendo aconselhados a permanecerem vigilantes.
Com informações do TechCrunch.
Assine nossa Newsletter para receber os melhores conteúdos do Itshow em sua caixa de entrada.