Fevereiro 12, 2025
Rico Olivetti Hackers, Tecnologia

Hackers norte-coreanos exploram truque do PowerShell para sequestrar dispositivos em novo ataque cibernético

O agente de ameaças ligado à Coreia do Norte conhecido como Kimsuky foi observado usando uma nova tática que envolve enganar alvos para executar o PowerShell como administrador e então instruí-los a colar e executar código malicioso fornecido por eles.

“Para executar essa tática, o agente da ameaça se disfarça como um funcionário do governo sul-coreano e, com o tempo, cria um relacionamento com o alvo antes de enviar um e-mail de spear-phishing com um anexo em PDF”, disse a equipe de Inteligência de Ameaças da Microsoft em uma série de postagens compartilhadas no X.

Para ler o suposto documento PDF, as vítimas são persuadidas a clicar em uma URL contendo uma lista de etapas para registrar seu sistema Windows. O link de registro as incita a iniciar o PowerShell como administrador e copiar/colar o trecho de código exibido no terminal e executá-lo.

Se a vítima prosseguir, o código malicioso baixa e instala uma ferramenta de área de trabalho remota baseada em navegador, juntamente com um arquivo de certificado com um PIN codificado de um servidor remoto.

“O código então envia uma solicitação da web para um servidor remoto para registrar o dispositivo da vítima usando o certificado e o PIN baixados. Isso permite que o agente da ameaça acesse o dispositivo e execute a exfiltração de dados”, disse a Microsoft.

A gigante da tecnologia disse ter observado o uso dessa abordagem em ataques limitados desde janeiro de 2025, descrevendo-a como um afastamento da prática habitual do agente de ameaças.

Vale a pena notar que o Kimsuky não é a única equipe de hackers norte-coreana a adotar a estratégia de comprometimento. Em dezembro de 2024, foi revelado que agentes de ameaças vinculados à campanha Contagious Interview estão enganando usuários para copiar e executar um comando malicioso em seus sistemas Apple macOS por meio do aplicativo Terminal para resolver um suposto problema com o acesso à câmera e ao microfone por meio do navegador da web.

Esses ataques, juntamente com aqueles que adotaram o chamado método ClickFix , decolaram muito nos últimos meses, em parte devido ao fato de que eles dependem dos alvos para infectar suas próprias máquinas, ignorando assim as proteções de segurança.

Mulher do Arizona se declara culpada de administrar fazenda de laptops para trabalhadores de TI da Coreia do Norte#

O desenvolvimento ocorre no momento em que o Departamento de Justiça dos EUA (DoJ) disse que uma mulher de 48 anos do estado do Arizona se declarou culpada por seu papel no esquema fraudulento de trabalhadores de TI que permitiu que agentes de ameaças norte-coreanos obtivessem empregos remotos em mais de 300 empresas dos EUA se passando por cidadãos e residentes dos EUA.

A atividade gerou mais de US$ 17,1 milhões em receita ilícita para Christina Marie Chapman e para a Coreia do Norte, violando sanções internacionais entre outubro de 2020 e outubro de 2023, disse o departamento.

“Chapman, um cidadão americano, conspirou com trabalhadores de TI no exterior de outubro de 2020 a outubro de 2023 para roubar as identidades de cidadãos americanos e usou essas identidades para se candidatar a empregos remotos de TI e, para dar continuidade ao esquema, transmitiu documentos falsos ao Departamento de Segurança Interna”, disse o DoJ .

“Chapman e seus cúmplices conseguiram empregos em centenas de empresas dos EUA, incluindo corporações da Fortune 500, muitas vezes por meio de empresas de trabalho temporário ou outras organizações contratantes.”

A ré, que foi presa em maio de 2024, também foi acusada de administrar uma fazenda de laptops hospedando vários laptops em sua residência para dar a impressão de que os trabalhadores norte-coreanos estavam trabalhando dentro do país, quando, na realidade, estavam baseados na China e na Rússia e conectados remotamente aos sistemas internos das empresas.

“Como resultado da conduta de Chapman e seus conspiradores, mais de 300 empresas dos EUA foram impactadas, mais de 70 identidades de cidadãos dos EUA foram comprometidas, em mais de 100 ocasiões informações falsas foram transmitidas ao DHS, e mais de 70 indivíduos dos EUA tiveram obrigações fiscais falsas criadas em seu nome”, acrescentou o DoJ.

O aumento da fiscalização policial levou a uma escalada do esquema de trabalhadores de TI, com relatos de extorsão e exfiltração de dados.

“Após serem descobertos em redes de empresas, trabalhadores de TI norte-coreanos extorquiram vítimas mantendo dados e códigos proprietários roubados como reféns até que as empresas atendam às exigências de resgate”, disse o Federal Bureau of Investigation (FBI) dos EUA em um comunicado no mês passado. “Em alguns casos, trabalhadores de TI norte-coreanos divulgaram publicamente o código proprietário das empresas vítimas.”