{"id":737,"date":"2025-02-12T13:40:21","date_gmt":"2025-02-12T13:40:21","guid":{"rendered":"https:\/\/oerlabs.com.br\/blog\/?p=737"},"modified":"2025-02-12T13:40:23","modified_gmt":"2025-02-12T13:40:23","slug":"hackers-norte-coreanos-exploram-truque-do-powershell-para-sequestrar-dispositivos-em-novo-ataque-cibernetico","status":"publish","type":"post","link":"https:\/\/oerlabs.com.br\/blog\/2025\/02\/12\/hackers-norte-coreanos-exploram-truque-do-powershell-para-sequestrar-dispositivos-em-novo-ataque-cibernetico\/","title":{"rendered":"Hackers norte-coreanos exploram truque do PowerShell para sequestrar dispositivos em novo ataque cibern\u00e9tico"},"content":{"rendered":"\n

O agente de amea\u00e7as ligado \u00e0 Coreia do Norte conhecido como Kimsuky<\/a> foi observado usando uma nova t\u00e1tica que envolve enganar alvos para executar o PowerShell como administrador e ent\u00e3o instru\u00ed-los a colar e executar c\u00f3digo malicioso fornecido por eles.<\/p>\n\n\n\n

“Para executar essa t\u00e1tica, o agente da amea\u00e7a se disfar\u00e7a como um funcion\u00e1rio do governo sul-coreano e, com o tempo, cria um relacionamento com o alvo antes de enviar um e-mail de spear-phishing com um anexo em PDF”, disse<\/a> a equipe de Intelig\u00eancia de Amea\u00e7as da Microsoft em uma s\u00e9rie de postagens compartilhadas no X.<\/p>\n\n\n\n

Para ler o suposto documento PDF, as v\u00edtimas s\u00e3o persuadidas a clicar em uma URL contendo uma lista de etapas para registrar seu sistema Windows. O link de registro as incita a iniciar o PowerShell como administrador e copiar\/colar o trecho de c\u00f3digo exibido no terminal e execut\u00e1-lo.<\/p>\n\n\n\n

Se a v\u00edtima prosseguir, o c\u00f3digo malicioso baixa e instala uma ferramenta de \u00e1rea de trabalho remota baseada em navegador, juntamente com um arquivo de certificado com um PIN codificado de um servidor remoto.<\/p>\n\n\n\n

“O c\u00f3digo ent\u00e3o envia uma solicita\u00e7\u00e3o da web para um servidor remoto para registrar o dispositivo da v\u00edtima usando o certificado e o PIN baixados. Isso permite que o agente da amea\u00e7a acesse o dispositivo e execute a exfiltra\u00e7\u00e3o de dados”, disse a Microsoft.<\/p>\n\n\n\n

A gigante da tecnologia disse ter observado o uso dessa abordagem em ataques limitados desde janeiro de 2025, descrevendo-a como um afastamento da pr\u00e1tica habitual do agente de amea\u00e7as.<\/p>\n\n\n\n

Vale a pena notar que o Kimsuky n\u00e3o \u00e9 a \u00fanica equipe de hackers norte-coreana a adotar a estrat\u00e9gia de comprometimento. Em dezembro de 2024, foi revelado<\/a> que agentes de amea\u00e7as vinculados \u00e0 campanha Contagious Interview est\u00e3o enganando usu\u00e1rios para copiar e executar um comando malicioso em seus sistemas Apple macOS por meio do aplicativo Terminal para resolver um suposto problema com o acesso \u00e0 c\u00e2mera e ao microfone por meio do navegador da web.<\/p>\n\n\n

\n
\"\"\/<\/a><\/figure>\n<\/div>\n\n\n

Esses ataques, juntamente com aqueles que adotaram o chamado m\u00e9todo ClickFix<\/a> , decolaram muito nos \u00faltimos meses, em parte devido ao fato de que eles dependem dos alvos para infectar suas pr\u00f3prias m\u00e1quinas, ignorando assim as prote\u00e7\u00f5es de seguran\u00e7a.<\/p>\n\n\n\n

Mulher do Arizona se declara culpada de administrar fazenda de laptops para trabalhadores de TI da Coreia do Norte#<\/a><\/h3>\n\n\n\n

O desenvolvimento ocorre no momento em que o Departamento de Justi\u00e7a dos EUA (DoJ) disse que uma mulher de 48 anos do estado do Arizona se declarou culpada por seu papel no esquema fraudulento de trabalhadores de TI<\/a> que permitiu que agentes de amea\u00e7as norte-coreanos obtivessem empregos remotos em mais de 300 empresas dos EUA se passando por cidad\u00e3os e residentes dos EUA.<\/p>\n\n\n\n

A atividade gerou mais de US$ 17,1 milh\u00f5es em receita il\u00edcita para Christina Marie Chapman<\/a> e para a Coreia do Norte, violando san\u00e7\u00f5es internacionais entre outubro de 2020 e outubro de 2023, disse o departamento.<\/p>\n\n\n\n

“Chapman, um cidad\u00e3o americano, conspirou com trabalhadores de TI no exterior de outubro de 2020 a outubro de 2023 para roubar as identidades de cidad\u00e3os americanos e usou essas identidades para se candidatar a empregos remotos de TI e, para dar continuidade ao esquema, transmitiu documentos falsos ao Departamento de Seguran\u00e7a Interna”, disse<\/a> o DoJ .<\/p>\n\n\n\n

“Chapman e seus c\u00famplices conseguiram empregos em centenas de empresas dos EUA, incluindo corpora\u00e7\u00f5es da Fortune 500, muitas vezes por meio de empresas de trabalho tempor\u00e1rio ou outras organiza\u00e7\u00f5es contratantes.”<\/p>\n\n\n\n

A r\u00e9, que foi presa em maio de 2024, tamb\u00e9m foi acusada de administrar uma fazenda de laptops hospedando v\u00e1rios laptops em sua resid\u00eancia para dar a impress\u00e3o de que os trabalhadores norte-coreanos estavam trabalhando dentro do pa\u00eds, quando, na realidade, estavam baseados na China e na R\u00fassia e conectados remotamente aos sistemas internos das empresas.<\/p>\n\n\n\n

“Como resultado da conduta de Chapman e seus conspiradores, mais de 300 empresas dos EUA foram impactadas, mais de 70 identidades de cidad\u00e3os dos EUA foram comprometidas, em mais de 100 ocasi\u00f5es informa\u00e7\u00f5es falsas foram transmitidas ao DHS, e mais de 70 indiv\u00edduos dos EUA tiveram obriga\u00e7\u00f5es fiscais falsas criadas em seu nome”, acrescentou o DoJ.<\/p>\n\n\n\n

O aumento da fiscaliza\u00e7\u00e3o policial levou a uma escalada do esquema de trabalhadores de TI, com relatos de extors\u00e3o e exfiltra\u00e7\u00e3o de dados.<\/p>\n\n\n\n

“Ap\u00f3s serem descobertos em redes de empresas, trabalhadores de TI norte-coreanos extorquiram v\u00edtimas mantendo dados e c\u00f3digos propriet\u00e1rios roubados como ref\u00e9ns at\u00e9 que as empresas atendam \u00e0s exig\u00eancias de resgate”, disse<\/a> o Federal Bureau of Investigation (FBI) dos EUA em um comunicado no m\u00eas passado. “Em alguns casos, trabalhadores de TI norte-coreanos divulgaram publicamente o c\u00f3digo propriet\u00e1rio das empresas v\u00edtimas.”<\/p>\n","protected":false},"excerpt":{"rendered":"

O agente de amea\u00e7as ligado \u00e0 Coreia do Norte conhecido como Kimsuky foi observado usando uma nova t\u00e1tica que envolve enganar alvos para executar o PowerShell como administrador e ent\u00e3o instru\u00ed-los a colar e executar c\u00f3digo malicioso fornecido por eles. “Para executar essa t\u00e1tica, o agente da amea\u00e7a se disfar\u00e7a como um funcion\u00e1rio do governo sul-coreano e, […]<\/p>\n","protected":false},"author":1,"featured_media":738,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","sfsi_plus_gutenberg_text_before_share":"","sfsi_plus_gutenberg_show_text_before_share":"","sfsi_plus_gutenberg_icon_type":"","sfsi_plus_gutenberg_icon_alignemt":"","sfsi_plus_gutenburg_max_per_row":"","footnotes":""},"categories":[7,1],"tags":[],"class_list":["post-737","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hackers","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/737","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/comments?post=737"}],"version-history":[{"count":1,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/737\/revisions"}],"predecessor-version":[{"id":739,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/737\/revisions\/739"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media\/738"}],"wp:attachment":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media?parent=737"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/categories?post=737"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/tags?post=737"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}