🌟 Atualização imperdÃvel para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Foram observados agentes de ameaças norte-coreanos enviando phishing para comprometer alvos e obter acesso ao aplicativo de desktop KakaoTalk da vÃtima para distribuir cargas maliciosas a determinados contatos.
A atividade foi atribuÃda pela empresa sul-coreana de inteligência de ameaças Genians a um grupo de hackers conhecido como Konni.
“O acesso inicial foi conseguido através de um e-mail de spearphishing disfarçado como um aviso nomeando o destinatário como um palestrante norte-coreano de direitos humanos”, observou o Genians Security Center (GSC) em uma análise.
“Após o sucesso do ataque de spear-phishing, a vÃtima executou um arquivo LNK malicioso, resultando em infecção por malware de acesso remoto. O malware permaneceu oculto e persistente no endpoint da vÃtima por um longo perÃodo, roubando documentos internos e informações confidenciais.”
Diz-se que o agente da ameaça permaneceu no host comprometido por um longo perÃodo de tempo, aproveitando o acesso não autorizado para desviar documentos internos e fazer uso do aplicativo KakaoTalk para propagar seletivamente o malware para contatos especÃficos.
O ataque é notável por abusar da confiança associada à s vÃtimas comprometidas para enganar e capturar alvos adicionais. Esta não é a primeira vez que Konni emprega o aplicativo de mensagens como vetor de distribuição. Em novembro de 2025, o grupo de hackers foi encontrado abusando de sessões de bate-papo do aplicativo KakaoTalk para enviar cargas maliciosas aos contatos das vÃtimas na forma de um arquivo ZIP, ao mesmo tempo em que iniciava uma limpeza remota de seus dispositivos Android usando credenciais roubadas do Google.
O ponto de partida da última campanha de ataque é um e-mail de spear-phishing usado como uma manobra para induzir os destinatários a abrir um anexo de arquivo ZIP contendo um atalho do Windows (LNK). Após a execução, o arquivo LNK baixa uma carga útil de próximo estágio de um servidor externo, estabelece persistência usando tarefas agendadas e, por fim, executa o malware, enquanto exibe um documento PDF falso ao usuário como um mecanismo de distração.
Escrito em AutoIt, o malware baixado é um trojan de acesso remoto (RAT) chamado EndRAT (também conhecido como EndClient RAT), que permite ao operador comandar remotamente o host comprometido por meio de recursos como gerenciamento de arquivos, acesso remoto ao shell, transferência de dados e persistência.
Uma análise mais aprofundada do host infectado revelou a presença de vários artefatos maliciosos, incluindo scripts AutoIt correspondentes a RftRAT e RemcosRAT, indicando que o adversário considerou a vÃtima valiosa o suficiente para eliminar várias famÃlias RAT para melhorar a resiliência.
Um aspecto importante do ataque é o abuso do aplicativo KakaoTalk da vÃtima instalado no sistema infectado pelo agente da ameaça para distribuir arquivos maliciosos na forma de arquivos ZIP para outros indivÃduos em sua lista de contatos e implantar o mesmo malware. Isto essencialmente transforma as vÃtimas existentes em intermediários para novos ataques.
“Esta campanha é avaliada como uma operação de ataque em vários estágios que vai além do simples spear-phishing, combinando persistência de longo prazo, roubo de informações e redistribuição baseada em contas”, disse Genians. “O ator selecionou determinados contatos da lista de amigos da vÃtima e enviou-lhes arquivos maliciosos adicionais. Ao fazer isso, o invasor usou nomes de arquivos disfarçados de materiais que apresentavam conteúdo relacionado à Coreia do Norte para induzir os destinatários a abrir os arquivos.”
A atividade foi atribuÃda pela empresa sul-coreana de inteligência de ameaças Genians a um grupo de hackers conhecido como Konni.
“O acesso inicial foi conseguido através de um e-mail de spearphishing disfarçado como um aviso nomeando o destinatário como um palestrante norte-coreano de direitos humanos”, observou o Genians Security Center (GSC) em uma análise.
“Após o sucesso do ataque de spear-phishing, a vÃtima executou um arquivo LNK malicioso, resultando em infecção por malware de acesso remoto. O malware permaneceu oculto e persistente no endpoint da vÃtima por um longo perÃodo, roubando documentos internos e informações confidenciais.”
Diz-se que o agente da ameaça permaneceu no host comprometido por um longo perÃodo de tempo, aproveitando o acesso não autorizado para desviar documentos internos e fazer uso do aplicativo KakaoTalk para propagar seletivamente o malware para contatos especÃficos.
O ataque é notável por abusar da confiança associada à s vÃtimas comprometidas para enganar e capturar alvos adicionais. Esta não é a primeira vez que Konni emprega o aplicativo de mensagens como vetor de distribuição. Em novembro de 2025, o grupo de hackers foi encontrado abusando de sessões de bate-papo do aplicativo KakaoTalk para enviar cargas maliciosas aos contatos das vÃtimas na forma de um arquivo ZIP, ao mesmo tempo em que iniciava uma limpeza remota de seus dispositivos Android usando credenciais roubadas do Google.
O ponto de partida da última campanha de ataque é um e-mail de spear-phishing usado como uma manobra para induzir os destinatários a abrir um anexo de arquivo ZIP contendo um atalho do Windows (LNK). Após a execução, o arquivo LNK baixa uma carga útil de próximo estágio de um servidor externo, estabelece persistência usando tarefas agendadas e, por fim, executa o malware, enquanto exibe um documento PDF falso ao usuário como um mecanismo de distração.
Escrito em AutoIt, o malware baixado é um trojan de acesso remoto (RAT) chamado EndRAT (também conhecido como EndClient RAT), que permite ao operador comandar remotamente o host comprometido por meio de recursos como gerenciamento de arquivos, acesso remoto ao shell, transferência de dados e persistência.
Uma análise mais aprofundada do host infectado revelou a presença de vários artefatos maliciosos, incluindo scripts AutoIt correspondentes a RftRAT e RemcosRAT, indicando que o adversário considerou a vÃtima valiosa o suficiente para eliminar várias famÃlias RAT para melhorar a resiliência.
Um aspecto importante do ataque é o abuso do aplicativo KakaoTalk da vÃtima instalado no sistema infectado pelo agente da ameaça para distribuir arquivos maliciosos na forma de arquivos ZIP para outros indivÃduos em sua lista de contatos e implantar o mesmo malware. Isto essencialmente transforma as vÃtimas existentes em intermediários para novos ataques.
“Esta campanha é avaliada como uma operação de ataque em vários estágios que vai além do simples spear-phishing, combinando persistência de longo prazo, roubo de informações e redistribuição baseada em contas”, disse Genians. “O ator selecionou determinados contatos da lista de amigos da vÃtima e enviou-lhes arquivos maliciosos adicionais. Ao fazer isso, o invasor usou nomes de arquivos disfarçados de materiais que apresentavam conteúdo relacionado à Coreia do Norte para induzir os destinatários a abrir os arquivos.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #konni #implanta #endrat #por #meio #de #phishing #e #usa #kakaotalk #para #propagar #malware
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário