As autoridades de cibersegurança dos EUA publicaram detalhes sobre três tipos de malware que foram usados por hackers norte-coreanos patrocinados pelo governo da Coreia do Norte para atacar alvos em todo o mundo.
O anúncio coincidiu com o aniversário de três anos do surto de ransomware WannaCry, quando as autoridades americanas culparam formalmente o regime de Pyongyang, e chegaram ao ponto de apresentar queixa contra um dos hackers.
EUA expõe três tipos de malware norte-coreanos
Portanto, os três tipos de malware expostos são:
COPPERHEDGE: um trojan de acesso remoto (RAT) capaz de executar comandos arbitrários, realizar reconhecimento do sistema e extrair dados. Seis variantes diferentes identificadas.
TAINTEDSCRIBE: um implante de malware (trojan) instalado em sistemas invadidos para receber e executar os comandos do invasor. Essas amostras usam o FakeTLS para autenticação de sessão e criptografia de rede utilizando um algoritmo Linear Feedback Shift Register (LFSR). O principal executável se disfarça de Narrador da Microsoft.
PEBBLEDASH: outro implante. Este tem a capacidade de baixar, carregar, excluir e executar arquivos; habilitar o acesso da CLI do Windows; criar e encerrar processos.
O US Cyber Command também enviou amostras das três linhagens de malware para sua conta no site VirusTotal.
Além disso, Costin Raiu, analista de malware do GReAT da Kaspersky, confirmou que as três linhagens de malware estavam ligadas a grupos de ameaças norte-coreanos conhecidos. Ainda mais, as amostras continham semelhanças de código com o Manuscrypt, uma família de malware norte-coreana conhecida, que a Kaspersky havia descoberto em 2017.
Por fim, a linha de pensamento geral era que, ao publicar informações facilmente disponíveis sobre esses tipos de malware, os setores público e privado poderiam implantar regras de detecção para bloquear ataques envolvendo essas ferramentas, forçando os hackers norte-coreanos a trabalhar regularmente em novas versões.
Fonte: ZDNET