Um grupo de hackers da Coreia do Norte foi descoberto utilizando falhas no navegador Internet Explorer para espalhar um malware pela Coreia do Sul. Segundo relatos, os hackers teriam usado uma publicação jornalística com notícias sobre a Coreia do Norte e bastante críticas ao regime de Pyongyang para conseguir espalhar o arquivo malicioso.
A empresa de segurança cibernética Volexity atribuiu os ataques a um grupo de hackers da Coreia do Norte conhecido como InkySquid, também chamado de ScarCruft e APT37. Segundo a empresa, a publicação em questão é o Daily NK, que hospedou o arquivo malicioso por pelo menos três meses, entre março e junho deste ano.
Bem escondido
O código malicioso era escondido em meio a códigos legítimos e o malware utilizado era uma espécie de implante personalizado, isso fazia com que as vítimas tivessem maior dificuldade em detectar que foram infectados pelo malware. Segundo a Volexity, o método utilizado pelos norte-coreanos foi bastante inteligente e pode ter infectado muita gente.
Os ataques envolveram a adulteração das bibliotecas jQuery JavaScript hospedadas no site para servir a um código JavaScript ofuscado adicional de um URL remoto, usando-o para explorar duas falhas do Internet Explorer, que foram corrigidas pela Microsoft em agosto de 2020 e março de 2021. O processo resultou em um stager Cobalt Strike e uma nova backdoor chamada Bluelight.
Falha bem explorada
Segundo equipes de pesquisa da Coreia do Sul, essa mesma backdoor já vinha sendo amplamente explorada por hackers da Coreia do Norte pelo menos desde janeiro deste ano. Em um outro ataque, que foi descoberto no mês passado, um invasor não identificado foi pego explorando a mesma falha, este para espalhar um trojan de acesso remoto.
O Bluelight é usado como uma carga útil secundária após a entrega do Cobalt Strike, ele funciona como uma ferramenta de acesso remoto e tem diversos recursos bastante complexos que fornecem um acesso amplo a um sistema comprometido. O malware coleta metadados do sistema e informações relacionadas a softwares antivírus instalados na máquina.
Este malware é capaz de coletar cookies e senhas dos navegadores Internet Explorer, Microsoft Edge e Google Chrome, além de coletar arquivos e baixar executáveis arbitrários que têm seus resultados filtrados por um serviço de acesso remoto.
Olhar Digital