Ativa campanha de ciberespionagem direcionada à Coreia do Sul

Segurança

A Kaspersky Lab publicou um relatório que analisa uma campanha de ciberespionagem ainda ativa direcionada, principalmente, para think-tanks da Coreia do Sul. A campanha tem o nome de “Kimsuky” e é bastante limitada e específica. Segundo a análise técnica, os atacantes mostram interesse particular em 11 organizações com sede na Coreia do Sul e duas

A Kaspersky Lab publicou um relatório que analisa uma campanha de ciberespionagem ainda ativa direcionada, principalmente, para think-tanks da Coreia do Sul.

DA campanha tem o nome de “Kimsuky” e é bastante limitada e específica. Segundo a análise técnica, os atacantes mostram interesse particular em 11 organizações com sede na Coreia do Sul e duas entidades na China.

Os primeiros sinais da ameaça surgiram no dia 3 de abril deste ano e as primeiras amostras do Trojan Kimsuky aparecem a 5 de maio. O programa espião contém vários erros básicos de codificação para poder sequestrar páginas e comunicar com os equipamentos infetados através de um site de um servidor de correio eletrónico gratuito da Bulgária.

Os analistas da Kaspersky acham que é muito provável que o malware Kimsuky se espalhe através de emails de phishing. Este Trojan tem a capacidade de realizar diversas funções de espionagem, entre elas, o registo de teclas premidas, roubo de contactos, controlo de acesso remoto e roubo de documentos HWP (processador de textos em coreano do pacote Office da Hancom, utilizado pelo governo local). Também é usado uma versão modificada da aplicação TeamViewer que serve como porta de entrada para sequestrar os ficheiros dos equipamentos infetados.

O foco dos ataques será o roubo de documentos HWP, uma vez que o programa malicioso foi concebido para roubar arquivos do género. Pelas pistas encontradas, os analistas sugerem que a origem dos cibercriminosos será a Coreia do Norte, isto porque algumas vítimas do ataque são universidades da Coreia do Sul que realizam investigações sobre assuntos internacionais e envolvidas nas políticas de defesa do governo.

Os endereços de IP de origem encontram-se nas províncias chinesas de Jilin e Liaoning. Os ISPs que oferecem acesso à Internet nestas províncias fornecem, também, os seus serviços a parte da Coreia do Norte.

Outra caraterística “geopolítica” do malware Kimsuky é que só desativa as ferramentas de segurança da AhnLab, uma companhia anti-malware da Coreia do Sul.


Clique para ler a bio do autor  Clique para fechar a bio do autor