Uma vulnerabilidade do Internet Explorer (sim, ele ainda existe!) foi usada por hackers norte-coreanos para atingir usuários sul-coreanos. Por meio das últimas notícias sobre o Halloween em Seul, capital da Coreia do Sul, eles induziram usuários a baixarem malware.  

Durante o evento, no dia 29 de outubro, ocorreu um acidente com o esmagamento de muitas pessoas no bairro de Itaewon, deixando números impressionantes de 158 mortos e 196 feridos. As vítimas eram em sua maioria jovens e adultos. 

Leia mais:

A descoberta sobre os malwares foi relatada pelos pesquisadores do Google Threat Analysis Group, Benoît Sevens e Clément Lecigne. Este tipo de ataque é o mais recente conjunto de ataques estruturados pelo grupo ScarCruft , também chamado de APT37, InkySquid, Reaper e Ricochet Chollima. 

publicidade

“O grupo historicamente focou sua segmentação em usuários sul-coreanos, desertores norte-coreanos, pessoas envolvidas com política, jornalistas e ativistas de direitos humanos”, disse a TAG em sua análise na última quinta-feira.

Outra ferramenta importante usada pelo grupo é o RokRat, um trojan de acesso remoto baseado no Windows que vem com muitas funções, como permitir capturas de tela, registrar o pressionamentos de tecla e até coletar informações de dispositivos Bluetooth.

Teclado de computador e a bandeira da Coreia do Norte estampada em uma das teclas e no canto abaixo escrito "hack"
Hackers Coreia do Norte/David Carillet/Shutterstock

Um dos ataques percebidos pelo Google Tag continha um documento de Word com vírus que abusava de outra falha do Internet Explorer – que já foi corrigida. Como aponta o Malware HunterTeam, o mesmo arquivo do Word foi compartilhado anteriormente pelo Shadow Chaser Group em 31 de outubro, descrevendo-o como uma “amostra interessante de modelo de injeção DOCX” originária da Coreia.

A exploração bem-sucedida é seguida pela entrega de um shellcode que limpa todos os vestígios, excluindo o cache e o histórico do Internet Explorer, bem como baixando os arquivos do próximo estágio. O Google TAG disse que não conseguiu recuperar o malware subsequente usado na campanha, embora suspeite que esteja envolvido na implantação de RokRat, BLUELIGHT ou Dolphin.

Já assistiu aos novos vídeos no YouTube do 998 bet? Inscreva-se no canal!