Se ha observado que el Agrupación de piratería de estado-estado vinculado a Corea del Boreal conocido como Kimsuky realiza ataques de phishing de asta para ofrecer un malware de robo de información llamado Forecopy, según nuevos hallazgos del Centro de Inteligencia de Seguridad de AhnLab (ASEC).
Los ataques comienzan con correos electrónicos de phishing que contienen un archivo de entrada directo de Windows (LNK) que está disfrazado de un documento de Microsoft Office o PDF.
La transigencia de este archivo adjunto desencadena la ejecución de PowerShell o mshta.exe, un binario de Microsoft probado diseñado para ejecutar archivos de aplicación HTML (HTA), que son responsables de descargar y ejecutar cargas enseres de próxima etapa desde una fuente externa.
La compañía de ciberseguridad de Corea del Sur dijo que los ataques culminaron en el despliegue de un troyano conocido doblado Pebbledash y una interpretación personalizada de una utilidad de escritorio remota de código descubierto emplazamiento RDP Wrapper.
Asimismo se entrega como parte de los ataques un malware proxy que permite a los actores de amenaza establecer comunicaciones persistentes con una red externa a través de RDP.
Adicionalmente, se ha observado a Kimsuky utilizando un Keylogger basado en PowerShell para fijar teclas de teclas y una nueva ForCecopy con nombre en código de Malware que se usa para copiar archivos almacenados en directorios relacionados con el navegador web.
“Todas las rutas donde está instalada el malware son rutas de instalación del navegador web”, dijo ASEC. “Se supone que el actor de amenaza está intentando evitar las restricciones en un entorno específico y robar los archivos de configuración de los navegadores web donde se almacenan las credenciales”.
El uso de herramientas RDP Wrapper y proxies a los hosts infectados por comando señala un cambio táctico para Kimsuky, que históricamente ha diligente las puertas traseras a medida para este propósito.
El actor de amenaza, incluso conocido como APT43, Black Banshee, Emerald Shing, Sparkling Piscis, SpringTail, TA427 y Velvet Chollima, se evalúa que está afiliado a la Bueca Universal de Reconnaissance (RGB), el Servicio de Inteligencia Extrande de Corea del Boreal.
Activo desde al menos 2012, Kimusky tiene un historial de orquestar ataques de ingeniería social a medida que son capaces de evitar las protecciones de seguridad por correo electrónico. En diciembre de 2024, la compañía de seguridad cibernética Genians reveló que el equipo de piratería ha estado enviando mensajes de phishing que se originan en los servicios rusos para resistir al robo de credenciales.
