Hackers norte-coreanos alimentam novos malwares KLogEXE e FPSpy para ataques direcionados
Cibersegurança

Hackers norte-coreanos alimentam novos malwares KLogEXE e FPSpy para ataques direcionados

atualizado em Deixe um comentário em Hackers norte-coreanos alimentam novos malwares KLogEXE e FPSpy para ataques direcionados


26 de setembro de 2024EURavie LakshmananAtaque cibernético/malware

Atores de ameaças com ligações com a Coreia do Norte foram detectados usando dois novos tipos de malware chamados KLogEXE e FPSpy.

Diz-se que esta operação foi realizada por um inimigo rastreado como Kimsuky, também conhecido como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente conhecido como Thallium), Sparkling Pisces, Springtail e Velvet Chollima.

“Essas amostras melhoram o já extenso arsenal do Sparkling Pisces e demonstram a evolução contínua e o poder crescente do grupo”, disseram os pesquisadores da Unidade 42 da Palo Alto Networks, Daniel Frank e Lior Rochberger.

Cibersegurança

Em operação desde pelo menos 2012, o agente da ameaça tem sido chamado de “rei do phishing” por sua capacidade de enganar as vítimas para que baixem malware, enviando e-mails que fazem com que pareçam ser de fontes confiáveis.

A análise da Unidade 42 da infraestrutura do Sparkling Pisces revelou dois novos utilitários chamados KLogEXE e FPSpy.

KLogExe é uma versão C++ de um keylogger baseado em PowerShell chamado InfoKey que foi destacado pelo JPCERT/CC em conexão com a campanha Kimsuky visando organizações japonesas.

Malware KLogEXE e FPSpy

O malware vem equipado com a capacidade de coletar e extrair informações sobre os aplicativos atualmente em execução na estação de trabalho vulnerável, pressionamentos de teclas e cliques do mouse.

Por outro lado, o FPSpy é considerado diferente do backdoor divulgado pela AhnLab em 2022, com sobreposições identificadas em malware registrado pela Cyberseason sob o nome KGH_SPY no final de 2020.

Cibersegurança

O FPSpy, além do keylogging, também foi projetado para coletar informações do sistema, baixar e instalar cargas adicionais, executar comandos arbitrários e enumerar unidades, pastas e arquivos no dispositivo infectado.

A Unidade 42 disse que também foi capaz de identificar pontos semelhantes no código-fonte do KLogExe e do FPSpy, sugerindo que provavelmente são trabalho do mesmo autor.

“A maioria dos alvos que vimos durante a nossa investigação vieram da Coreia do Sul e do Japão, o que é consistente com a identificação anterior de Kimsuky”, disseram os investigadores.

Você achou este artigo interessante? Siga-nos Twitter e LinkedIn para ler o conteúdo exclusivo que postamos.





Source link

Você também pode gostar...

China acusa EUA de atacar o Volt para ocultar suas próprias campanhas de hackers
Cibersegurança

China acusa EUA de atacar o Volt para ocultar suas próprias campanhas de hackers

Navegando no futuro da segurança de TO
Cibersegurança

Navegando no futuro da segurança de TO

Os CISOs são incentivados a se preparar agora para a criptografia pós-quântica
Cibersegurança

Os CISOs são incentivados a se preparar agora para a criptografia pós-quântica

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *