🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O grupo de hackers norte-coreano rastreado como APT37 (também conhecido como ScarCruft) foi atribuÃdo a uma nova campanha de engenharia social em vários estágios, na qual os agentes da ameaça abordaram alvos no Facebook e os adicionaram como amigos na plataforma de mÃdia social, transformando o exercÃcio de construção de confiança em um canal de entrega para um trojan de acesso remoto chamado RokRAT.
"O ator da ameaça usou duas contas do Facebook com localização definida em Pyongyang e Pyongsong, na Coreia do Norte, para identificar e rastrear alvos", disse o Genians Security Center (GSC) em um detalhamento técnico da campanha. "Depois de construir confiança por meio de solicitações de amizade, o ator transferiu a conversa para o Messenger e usou tópicos especÃficos para atrair alvos como parte do estágio inicial de engenharia social do ataque."
Central para o ataque é o uso do que o GSC descreve como pretexto, uma tática em que os atores da ameaça visam enganar usuários desavisados para que instalem um visualizador de PDF dedicado, alegando que o software era necessário para abrir documentos militares criptografados. O visualizador de PDF usado na cadeia de infecção é uma versão adulterada do Wondershare PDFelement, que, quando iniciado, aciona a execução de shellcode incorporado que permite aos invasores obter uma posição inicial.
Outro aspecto significativo da campanha é que ela utiliza infraestrutura legÃtima, mas comprometida, para comando e controle (C2), transformando o site associado ao braço de Seul de um serviço de informações imobiliárias japonês como uma arma para emitir comandos e cargas maliciosas. Além do mais, a carga assume a forma de uma imagem JPG aparentemente inofensiva para entregar o RokRAT.
"Isso é avaliado como uma estratégia altamente evasiva que combina adulteração de software legÃtimo, abuso de um site legÃtimo e mascaramento de extensão de arquivo", afirmou o GSC.
Na sequência de ataque detalhada pela empresa sul-coreana de segurança cibernética, descobriu-se que os agentes da ameaça criaram duas contas do Facebook – “richardmichael0828” e “johnsonsophia0414”, ambas criadas em 10 de novembro de 2025 – e entregaram um arquivo ZIP após mover a conversa para o Telegram, com o arquivo contendo a versão trojanizada do Wondershare PDFelement junto com quatro documentos PDF e um arquivo de texto contendo instruções para instalar o programa para visualizar os PDFs.
O shellcode criptografado executado após o lançamento do instalador adulterado permite que ele estabeleça comunicação com o servidor C2 ("japanroom[.]com") e baixe uma carga útil de segundo estágio, uma imagem JPG ("1288247428101.jpg") que é então usada para a carga útil final do RokRAT.
O malware, por sua vez, abusa do Zoho WorkDrive como C2 – uma tática também detalhada pelo Zscaler ThreatLabz em fevereiro de 2026 como parte de uma campanha de codinome Ruby Jumper – permitindo capturar capturas de tela, permitir a execução remota de comandos via "cmd.exe", coletar informações do host, realizar reconhecimento do sistema e evitar a detecção por programas de segurança como o 360 Total Security da Qihoo, enquanto disfarça o tráfego malicioso.
“Sua funcionalidade principal permaneceu relativamente estável e foi reutilizada repetidamente em múltiplas operações ao longo do tempo”, disse o GSC. "Isso mostra que o RokRAT se concentrou menos em mudar sua funcionalidade principal e mais em evoluir sua cadeia de entrega, execução e evasão."
"O ator da ameaça usou duas contas do Facebook com localização definida em Pyongyang e Pyongsong, na Coreia do Norte, para identificar e rastrear alvos", disse o Genians Security Center (GSC) em um detalhamento técnico da campanha. "Depois de construir confiança por meio de solicitações de amizade, o ator transferiu a conversa para o Messenger e usou tópicos especÃficos para atrair alvos como parte do estágio inicial de engenharia social do ataque."
Central para o ataque é o uso do que o GSC descreve como pretexto, uma tática em que os atores da ameaça visam enganar usuários desavisados para que instalem um visualizador de PDF dedicado, alegando que o software era necessário para abrir documentos militares criptografados. O visualizador de PDF usado na cadeia de infecção é uma versão adulterada do Wondershare PDFelement, que, quando iniciado, aciona a execução de shellcode incorporado que permite aos invasores obter uma posição inicial.
Outro aspecto significativo da campanha é que ela utiliza infraestrutura legÃtima, mas comprometida, para comando e controle (C2), transformando o site associado ao braço de Seul de um serviço de informações imobiliárias japonês como uma arma para emitir comandos e cargas maliciosas. Além do mais, a carga assume a forma de uma imagem JPG aparentemente inofensiva para entregar o RokRAT.
"Isso é avaliado como uma estratégia altamente evasiva que combina adulteração de software legÃtimo, abuso de um site legÃtimo e mascaramento de extensão de arquivo", afirmou o GSC.
Na sequência de ataque detalhada pela empresa sul-coreana de segurança cibernética, descobriu-se que os agentes da ameaça criaram duas contas do Facebook – “richardmichael0828” e “johnsonsophia0414”, ambas criadas em 10 de novembro de 2025 – e entregaram um arquivo ZIP após mover a conversa para o Telegram, com o arquivo contendo a versão trojanizada do Wondershare PDFelement junto com quatro documentos PDF e um arquivo de texto contendo instruções para instalar o programa para visualizar os PDFs.
O shellcode criptografado executado após o lançamento do instalador adulterado permite que ele estabeleça comunicação com o servidor C2 ("japanroom[.]com") e baixe uma carga útil de segundo estágio, uma imagem JPG ("1288247428101.jpg") que é então usada para a carga útil final do RokRAT.
O malware, por sua vez, abusa do Zoho WorkDrive como C2 – uma tática também detalhada pelo Zscaler ThreatLabz em fevereiro de 2026 como parte de uma campanha de codinome Ruby Jumper – permitindo capturar capturas de tela, permitir a execução remota de comandos via "cmd.exe", coletar informações do host, realizar reconhecimento do sistema e evitar a detecção por programas de segurança como o 360 Total Security da Qihoo, enquanto disfarça o tráfego malicioso.
“Sua funcionalidade principal permaneceu relativamente estável e foi reutilizada repetidamente em múltiplas operações ao longo do tempo”, disse o GSC. "Isso mostra que o RokRAT se concentrou menos em mudar sua funcionalidade principal e mais em evoluir sua cadeia de entrega, execução e evasão."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #apt37 #da #coreia #do #norte #usa #engenharia #social #do #facebook #para #entregar #malware #rokrat
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário