Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) Campanha de Ataque BabyShark

Campanha de Ataque BabyShark

Por Mezo em Ameaça Persistente Avançada (APT), Malware
Traduzir Para:

Pesquisadores de segurança cibernética descobriram ataques contínuos e em evolução do grupo hacker norte-coreano Kimsuky, que utiliza uma elaborada tática de engenharia social conhecida como ClickFix para disseminar o malware BabyShark. Essas campanhas têm como alvo especialistas em segurança nacional e utilizam tanto a dissimulação humana quanto a discrição técnica para obter acesso de longo prazo aos sistemas das vítimas.

Especialistas em alvos com iscas de spear-phishing

O grupo de ameaças Kimsuky vem distribuindo ativamente e-mails de spear-phishing desde janeiro de 2025, inicialmente com foco em especialistas em segurança nacional sul-coreanos. Os invasores se passam por representantes de uma publicação comercial legítima em alemão e atraem as vítimas com solicitações falsas de entrevista. Esses e-mails contêm links para arquivos RAR maliciosos que, uma vez abertos, implantam um script Visual Basic (VBS). Esse script inicia um arquivo falso do Google Docs para parecer legítimo, enquanto executa silenciosamente o código para estabelecer persistência em tarefas agendadas e roubar informações do sistema.

Personas enganosas e variantes modificadas do ClickFix

Em março de 2025, Kimsuky intensificou seus esforços, passando-se por um alto funcionário da segurança nacional dos EUA. Os novos e-mails de phishing continham um PDF com uma lista de perguntas falsas para reuniões e induziam os destinatários a inserir um "código de autenticação" para acessar um conteúdo supostamente seguro. Isso representa uma mudança no método ClickFix, que passou de corrigir erros falsos para inserir códigos, reforçando a ilusão de legitimidade.

Em abril de 2025, surgiu outra variante, desta vez representando um diplomata japonês e fazendo referência a uma reunião proposta com o embaixador japonês nos EUA. O ataque novamente usou uma página falsa do Google Docs para mascarar a execução de um comando ofuscado do PowerShell, permitindo a exfiltração contínua de dados e a implantação de carga útil por meio de comunicação C2 persistente.

Transformando portais de empregos e pop-ups falsos em armas

Em uma reviravolta mais elaborada, Kimsuky começou a usar sites falsos que se passavam por portais de empregos para pesquisa de defesa. Esses sites exibiam listas de empregos falsas que, ao serem clicadas, acionavam pop-ups no estilo ClickFix, incentivando os usuários a abrir a caixa de diálogo Executar do Windows e executar um comando do PowerShell.
Este comando instruiu os usuários a instalar o Chrome Remote Desktop, concedendo aos invasores acesso remoto completo via SSH através do domínio C2 kida.plusdocs.kro.kr. Uma configuração incorreta no servidor C2 revelou dados expostos da vítima, que se acredita terem se originado de sistemas sul-coreanos comprometidos. Além disso, um IP chinês vinculado a essa infraestrutura continha um log de keylogging e um arquivo ZIP do Proton Drive que entregava o BabyShark por meio de uma cadeia complexa de vários estágios.

Inovações recentes: CAPTCHA falso e implantação do AutoIt

Em junho de 2025, Kimsuky começou a explorar páginas falsas de verificação de CAPTCHA do Naver. Essas páginas falsas instruíam os usuários a colar comandos do PowerShell na caixa de diálogo Executar, executando um script AutoIt que coletava informações confidenciais. Isso demonstra ainda mais o uso adaptativo de ferramentas baseadas em script e engenharia social pelo grupo para manter sua presença nos ambientes das vítimas.

Frentes de phishing em expansão: disfarce acadêmico e ataques de HWP

Além do ClickFix, Kimsuky também foi associado a campanhas de phishing disfarçadas de correspondência acadêmica. Esses e-mails parecem ser solicitações para revisar um artigo de pesquisa e incluem um documento HWP protegido por senha. Uma vez aberto, o documento malicioso utiliza um objeto OLE incorporado para executar um script do PowerShell. Esse script realiza um reconhecimento detalhado do sistema e implementa o AnyDesk, uma ferramenta legítima de área de trabalho remota, para manter o acesso remoto persistente.

Principais conclusões: Táticas e técnicas em resumo

Os ataques de engenharia social de Kimsuky dependem de:

  • Representação de figuras e instituições confiáveis (jornalistas, diplomatas, acadêmicos)
  • Uso de arquivos falsos (Google Docs, PDFs, documentos HWP) para mascarar atividades maliciosas
  • Manipulação de usuários para executar comandos do PowerShell por meio de erros falsos, prompts de autenticação ou páginas CAPTCHA

As características técnicas da campanha incluem :

  • Acesso persistente por meio de tarefas agendadas e software de acesso remoto (AnyDesk, Chrome Remote Desktop)
  • Entrega em vários estágios do malware BabyShark
  • Uso de ferramentas de automação baseadas em scripts, como o AutoIt
  • Vulnerabilidades de infraestrutura exploradas expondo dados roubados de vítimas

Conclusão: Uma ameaça em constante evolução

A campanha BabyShark ilustra a agilidade da Kimsuky em desenvolver suas técnicas de engenharia social e utilizar software legítimo e infraestrutura pública para fins maliciosos. A estratégia ClickFix destaca como os agentes de ameaças continuam a explorar o comportamento humano tanto quanto as vulnerabilidades do sistema. Vigilância, estratégias de defesa em camadas e educação do usuário continuam sendo cruciais para mitigar os riscos representados por agentes de ameaças tão sofisticados.

Tendendo

Mais visto

Carregando...