Você já ouviu falar do ataque de phishing chamado DEEPDRIVE? Ele está afetando milhares de entidades na Coreia do Sul e tudo indica que hackers norte-coreanos estão por trás disso. Neste artigo, você vai descobrir como esses criminosos atacam empresas, governos e usuários de criptomoedas, usando iscas feitas sob medida para enganar suas vítimas. Vamos mergulhar nos detalhes desse ataque cibernético e entender os riscos que ele traz para todos nós.
- O ataque de phishing DEEP#DRIVE afeta entidades sul-coreanas.
- Hackers do grupo Kimsuky são os principais suspeitos.
- O ataque utiliza iscas disfarçadas de documentos legítimos.
- Os hackers coletam informações sensíveis usando scripts PowerShell.
- A Securonix recomenda educação sobre phishing e monitoramento de malware.
Ataque de Phishing DEEP#DRIVE: O Que Você Precisa Saber
Introdução ao Ataque
Desde setembro de 2024, várias empresas e entidades do governo da Coreia do Sul têm sido alvos de um ataque cibernético que já afetou milhares de pessoas. Os hackers por trás disso são suspeitos de serem do grupo Kimsuky, conhecido por suas atividades de espionagem cibernética.
O Que é DEEP#DRIVE?
O DEEP#DRIVE é uma campanha que visa empresas, usuários de criptomoedas e entidades governamentais, com o objetivo de espionagem, coletando informações sensíveis de organizações sul-coreanas.
Como os Ataques Acontecem?
Os hackers usam técnicas de phishing elaboradas, criando iscas disfarçadas de documentos legítimos, como relatórios de trabalho e arquivos de criptomoedas, tudo em coreano.
Exemplos de Iscas Usadas
Um exemplo é uma isca disfarçada como um aplicativo chamado Telegram.exe, com um nome em coreano que se refere a detalhes logísticos, mostrando que eles estão mirando no setor de logística.
Como os Hackers Distribuem as Iscas?
As iscas são enviadas em formatos de arquivo confiáveis, como .hwp, .xlsx e .pptx, hospedadas em plataformas conhecidas como Dropbox, o que ajuda a evitar a detecção.
A Importância do Phishing
Pesquisadores da Securonix afirmam que o phishing é a principal forma de distribuição de malware nesta campanha, utilizando temas comuns em iscas, o que é preocupante.
Estratégias dos Hackers
Os hackers utilizam scripts PowerShell para entregar malware, coletar informações do sistema e manter a persistência no dispositivo da vítima, criando tarefas agendadas para garantir que o malware continue ativo.
A Cadeia de Ataques
A cadeia de ataque começa com um arquivo .lnk que parece legítimo. Ao clicar, ele executa scripts maliciosos que baixam outros arquivos prejudiciais, como uma montagem .NET disfarçada. Um dos scripts, “system_first.ps1”, coleta e envia informações do sistema para os hackers.
O Que Acontece Depois?
O ataque culmina com a entrega de um arquivo final, que se suspeita ser um backdoor. A investigação revelou que os hackers usaram uma conta do Dropbox para armazenar arquivos de configuração e outros arquivos maliciosos.
Técnicas de Ocultação
Os hackers usam técnicas de ocultação para evitar a detecção, incluindo nomes de variáveis sem sentido e atribuições irrelevantes. Eles também removeram links do Dropbox, sugerindo que a infraestrutura do ataque era temporária.
Semelhanças com Outros Ataques
As táticas utilizadas são semelhantes às de outros ataques do grupo Kimsuky, conhecido por mirar na Coreia do Sul e usar métodos baseados no Dropbox em campanhas anteriores.
Como se Proteger?
A Securonix recomenda algumas medidas para se proteger contra ataques como o DEEP#DRIVE:
- Educação sobre phishing: Aprenda a identificar iscas e ensine outros.
- Monitoramento de diretórios de malware: Fique atento a onde arquivos maliciosos podem estar.
- Registro confiável de endpoints: Utilize o registro do PowerShell para acompanhar atividades suspeitas.
Se você deseja aprender mais sobre Segurança e Investigação, recomendamos conferir o cursos disponiveis da Foco em SEC.
Conclusão
O ataque de phishing DEEP#DRIVE é um lembrete de que o mundo digital pode ser perigoso. Os hackers do grupo Kimsuky se aproveitam da vulnerabilidade humana, criando iscas que parecem legítimas. A educação sobre phishing e a vigilância constante são suas melhores defesas. Não deixe que a próxima isca te pegue desprevenido!
Fique sempre um passo à frente, aprenda a identificar padrões suspeitos e compartilhe esse conhecimento. O conhecimento é a melhor armadura contra esses ataques. Para se aprofundar em segurança digital e dicas valiosas, confira mais artigos em Foco em Sec. Vamos juntos navegar por esse mar de informações e nos manter seguros!