Um grupo de cibercriminosos norte-coreano muito conhecido por roubos de criptomoedas foi atribuído a uma nova onda de ataques de e-mail maliciosos. Esses hackers estão mirando na coleta de credenciais “ampla” visando uma série de setores verticais da indústria.
Hackers norte-coreanos e a coleta de credenciais
Os hackers foram rastreados pela Proofpoint sob o nome de TA444 e pela maior comunidade de segurança cibernética como APT38, BlueNoroff, Copernicium e Stardust Chollima.
De acordo com a Proofpoint, em um relatório ao The Hacker News, o TA444 está utilizando uma ampla variedade de métodos de entrega e cargas úteis juntamente com iscas relacionadas a blockchain, falsas oportunidades de emprego em empresas de prestígio e ajustes salariais para atrair vítimas.
A ameaça avançada é uma espécie de aberração entre os grupos patrocinados pelo estado, pois suas operações são motivadas financeiramente e voltadas para a geração de receita ilícita para o Reino Eremita, lembra o Bleeping Computer.
Nos ataques para a coleta de credenciais, os hackers empregam e-mails de phishing, geralmente adaptados aos interesses da vítima, carregados de anexos com malware, como arquivos LNK e imagens de disco óptico ISO para acionar a cadeia de infecção. Entre outras táticas, está o uso de contas comprometidas do LinkedIn pertencentes a executivos legítimos da empresa para abordar e se envolver com alvos antes de fornecer links com armadilhas.
Campanhas mais recentes testemunharam um “desvio significativo”, em que as mensagens de phishing levaram os destinatários a clicar em um URL que redirecionava para uma página de coleta de credenciais. A explosão de e-mail teve como alvo vários setores além do setor financeiro, incluindo educação, governo e saúde, nos EUA e no Canadá.
Notícias Relacionadas
Segurança Ubuntu
Ubuntu corrige vulnerabilidades de memória no Vim: atualize agora
Duas vulnerabilidades foram encontradas no Vim, afetando várias versões do Ubuntu. Para proteger seu sistema, atualize para a versão mais recente e evite riscos de execução de código ou negação de serviço.
Alerta urgente
Alerta urgente: CISA recomenda correção de vulnerabilidades até setembro
A CISA emitiu um alerta sobre três vulnerabilidades críticas em softwares populares, como ImageMagick e SonicWall SonicOS. As empresas devem corrigir essas falhas até o final de setembro para evitar ataques cibernéticos.
Além da experimentação, o TA444 também foi observado expandindo a funcionalidade do CageyChameleon para ajudar ainda mais na criação de perfis de vítimas, ao mesmo tempo em que mantém um amplo arsenal de ferramentas pós-exploração para facilitar o roubo.
De acordo com a Proofpoint:
Em 2022, o TA444 elevou seu foco em criptomoedas a um novo nível e passou a imitar o ecossistema do cibercrime testando uma variedade de cadeias de infecção para ajudar a expandir seus fluxos de receita.
As descobertas foram feitas quando o Federal Bureau of Investigation (FBI) dos EUA acusou os atores do BlueNoroff de realizar o roubo de US$ 100 milhões (cerca de R$ 509.000,00) em criptomoedas roubadas da Harmony Horizon Bridge em junho de 2022.
O grupo “permanece engajado em seus esforços para usar a criptomoeda como um veículo para fornecer fundos utilizáveis ??ao regime”, de acordo com a Proofpoint. No entanto, aparece empenhada em conseguir credenciais de suas vítimas.
