🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ator de ameaças patrocinado pelo Estado norte-coreano conhecido como Kimsuky (também conhecido como Velvet Chollima) foi atribuído a um novo conjunto de ataques cibernéticos contra entidades militares e corporativas sul-coreanas durante março e abril de 2026.
“Kimsuky empregou uma série de táticas de engenharia social personalizadas, como falsificar páginas de instalação de software de segurança e criar uma página de reunião Webex falsa que aproveitou uma programação de reuniões legítima”, disse ENKI em uma análise publicada esta semana.
Descobriu-se que os ataques entregam uma variante de uma família de malware conhecida chamada HTTPSpy, disfarçando-os como instaladores de software de segurança sul-coreano, uma tática que o ator da ameaça tem adotado consistentemente desde 2023.
Na última campanha observada em março de 2026, descobriu-se que o adversário propagava cargas maliciosas por meio de uma página da web falsa que se fazia passar pela página de instalação de software de segurança de um serviço de mensagens B2B sul-coreano. Dada a natureza da atração, suspeita-se que a atividade possa ter sido projetada especificamente para destacar administradores de mensagens em ambientes corporativos.
A página afirma oferecer duas ferramentas de segurança: um firewall e um programa de segurança de teclado. Depois que usuários desavisados iniciam o download, ele resulta no download de um dos dois executáveis - "nos-setup.exe" e "astx-setup.exe" - que se disfarçam como nProtect Online Security e AhnLab Safe Transaction (ASTx). Apesar das diferenças no nome, o comportamento malicioso neles incorporado é idêntico.
A principal responsabilidade dos binários é iniciar uma carga útil de DLL de segundo estágio ("MemLoader.dll") por meio de "regsvr32.exe", após o qual um script em lote é executado para excluí-los do disco. A DLL estabelece persistência no host usando uma tarefa agendada e contata um servidor de comando e controle (C2) para recuperar uma carga útil ainda desconhecida.
“O invasor provavelmente monitorou as solicitações GET recorrentes do malware e entregou seletivamente cargas úteis a vítimas específicas”, disse ENKI.
Em outra campanha observada em abril de 2026, uma página da web falsificada que imitava o Cisco Webex teria sido usada para exibir uma mensagem pop-up instando a vítima a baixar e executar um script para resolver problemas de acesso à câmera. Isso resulta na recuperação de um arquivo ZIP contendo um arquivo JavaScript (JSE) criptografado ("fix-camera.jse").
A execução do arquivo JSE resulta na implantação de um downloader intermediário ("mTSTCv8.mdxm") usando o PowerShell, que então executa verificações anti-análise e contata um servidor C2 para buscar o malware de próximo estágio ("engine.dat" ou "spyInster.dll"). No estágio final, a DLL descarta um componente carregador (“cacheMon.dat”) que, por sua vez, executa HTTPSpy no sistema comprometido.
HTTPSpy é um trojan de acesso remoto completo que oferece suporte a uma ampla gama de recursos para executar comandos shell, fazer upload/download de arquivos, executar processos, capturar capturas de tela, injetar caminhos de DLL em processos PID especificados e apagar-se do endpoint.
Esta não é a primeira vez que Kimsuky implanta HTTPSpy. Em seu Relatório sobre o cenário de ameaças europeu de 2025, a CrowdStrike disse que o grupo de hackers provavelmente teve como alvo os funcionários de um fabricante de defesa alemão por meio de uma campanha de phishing de credenciais implantando o malware entre maio de 2024 e pelo menos setembro de 2024. O primeiro uso de HTTPSpy remonta a 2022.
Simultaneamente, o malware também cai e abre um arquivo HTML chamado “meeting.html”, que redireciona imediatamente a vítima para uma sala de reuniões Webex. Acessar a URL abre uma sala de reunião Webex legítima associada a um evento agendado real que ocorreu no mesmo horário.
“Isso indica que o invasor provavelmente comprometeu o dispositivo ou conta de um membro do serviço para obter o cronograma da reunião e, em seguida, criou uma página falsa da reunião para distribuir malware aos outros participantes”, disse a empresa de segurança cibernética.
ENKI disse que também descobriu páginas falsas adicionais que consultam um servidor local configurado pelo malware na máquina da vítima via JSONP (JSON com preenchimento) para verificar o status de execução do malware e exibir um prompt de instalação se não estiver em execução. A técnica recebeu o codinome JSONPing. No entanto, a natureza exata do malware baixado permanece desconhecida, pois o URL está atualmente inativo.
“Kimsuky foi além da simples distribuição de malware, introduzindo mecanismos sofisticados para maximizar o sucesso da entrega, incluindo verificação de infecção em tempo real via JSONPing e criação de uma página falsa usando uma agenda de reuniões roubada”, disse ENKI.
Kimsuky evolui com HelloDoor e HttpMalice
A divulgação ocorre no momento em que a Kaspersky detalha o uso do tunelamento Microsoft Visual Studio Code (VS Code), Cloudflare Quick Tunnels, DWAgent, grandes modelos de linguagem (LLMs) e a linguagem de programação Rust em suas campanhas mais recentes, destacando sua contínua adaptação.
“Kimsuky empregou uma série de táticas de engenharia social personalizadas, como falsificar páginas de instalação de software de segurança e criar uma página de reunião Webex falsa que aproveitou uma programação de reuniões legítima”, disse ENKI em uma análise publicada esta semana.
Descobriu-se que os ataques entregam uma variante de uma família de malware conhecida chamada HTTPSpy, disfarçando-os como instaladores de software de segurança sul-coreano, uma tática que o ator da ameaça tem adotado consistentemente desde 2023.
Na última campanha observada em março de 2026, descobriu-se que o adversário propagava cargas maliciosas por meio de uma página da web falsa que se fazia passar pela página de instalação de software de segurança de um serviço de mensagens B2B sul-coreano. Dada a natureza da atração, suspeita-se que a atividade possa ter sido projetada especificamente para destacar administradores de mensagens em ambientes corporativos.
A página afirma oferecer duas ferramentas de segurança: um firewall e um programa de segurança de teclado. Depois que usuários desavisados iniciam o download, ele resulta no download de um dos dois executáveis - "nos-setup.exe" e "astx-setup.exe" - que se disfarçam como nProtect Online Security e AhnLab Safe Transaction (ASTx). Apesar das diferenças no nome, o comportamento malicioso neles incorporado é idêntico.
A principal responsabilidade dos binários é iniciar uma carga útil de DLL de segundo estágio ("MemLoader.dll") por meio de "regsvr32.exe", após o qual um script em lote é executado para excluí-los do disco. A DLL estabelece persistência no host usando uma tarefa agendada e contata um servidor de comando e controle (C2) para recuperar uma carga útil ainda desconhecida.
“O invasor provavelmente monitorou as solicitações GET recorrentes do malware e entregou seletivamente cargas úteis a vítimas específicas”, disse ENKI.
Em outra campanha observada em abril de 2026, uma página da web falsificada que imitava o Cisco Webex teria sido usada para exibir uma mensagem pop-up instando a vítima a baixar e executar um script para resolver problemas de acesso à câmera. Isso resulta na recuperação de um arquivo ZIP contendo um arquivo JavaScript (JSE) criptografado ("fix-camera.jse").
A execução do arquivo JSE resulta na implantação de um downloader intermediário ("mTSTCv8.mdxm") usando o PowerShell, que então executa verificações anti-análise e contata um servidor C2 para buscar o malware de próximo estágio ("engine.dat" ou "spyInster.dll"). No estágio final, a DLL descarta um componente carregador (“cacheMon.dat”) que, por sua vez, executa HTTPSpy no sistema comprometido.
HTTPSpy é um trojan de acesso remoto completo que oferece suporte a uma ampla gama de recursos para executar comandos shell, fazer upload/download de arquivos, executar processos, capturar capturas de tela, injetar caminhos de DLL em processos PID especificados e apagar-se do endpoint.
Esta não é a primeira vez que Kimsuky implanta HTTPSpy. Em seu Relatório sobre o cenário de ameaças europeu de 2025, a CrowdStrike disse que o grupo de hackers provavelmente teve como alvo os funcionários de um fabricante de defesa alemão por meio de uma campanha de phishing de credenciais implantando o malware entre maio de 2024 e pelo menos setembro de 2024. O primeiro uso de HTTPSpy remonta a 2022.
Simultaneamente, o malware também cai e abre um arquivo HTML chamado “meeting.html”, que redireciona imediatamente a vítima para uma sala de reuniões Webex. Acessar a URL abre uma sala de reunião Webex legítima associada a um evento agendado real que ocorreu no mesmo horário.
“Isso indica que o invasor provavelmente comprometeu o dispositivo ou conta de um membro do serviço para obter o cronograma da reunião e, em seguida, criou uma página falsa da reunião para distribuir malware aos outros participantes”, disse a empresa de segurança cibernética.
ENKI disse que também descobriu páginas falsas adicionais que consultam um servidor local configurado pelo malware na máquina da vítima via JSONP (JSON com preenchimento) para verificar o status de execução do malware e exibir um prompt de instalação se não estiver em execução. A técnica recebeu o codinome JSONPing. No entanto, a natureza exata do malware baixado permanece desconhecida, pois o URL está atualmente inativo.
“Kimsuky foi além da simples distribuição de malware, introduzindo mecanismos sofisticados para maximizar o sucesso da entrega, incluindo verificação de infecção em tempo real via JSONPing e criação de uma página falsa usando uma agenda de reuniões roubada”, disse ENKI.
Kimsuky evolui com HelloDoor e HttpMalice
A divulgação ocorre no momento em que a Kaspersky detalha o uso do tunelamento Microsoft Visual Studio Code (VS Code), Cloudflare Quick Tunnels, DWAgent, grandes modelos de linguagem (LLMs) e a linguagem de programação Rust em suas campanhas mais recentes, destacando sua contínua adaptação.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #kimsuky #implanta #httpspy, #expande #arsenal #com #hellodoor #e #vs #code #tunnels
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário