cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br


Um grupo de hackers norte-coreano foi encontrado implantando o Trojan RokRat em uma nova campanha de spear-phishing visando o governo sul-coreano.

Atribuindo o ataque ao APT37 (também conhecido como Starcruft, Ricochet Chollima ou Reaper), Malwarebytes disse que identificou um documento malicioso em dezembro passado que, quando aberto, executa uma macro na memória para instalar a referida ferramenta de acesso remoto (RAT).

“O arquivo contém uma macro incorporada que usa uma técnica de autodecodificação VBA para se decodificar dentro dos espaços de memória do Microsoft Office sem gravar no disco. Em seguida, incorpora uma variante do RokRat no Bloco de notas”, observaram os pesquisadores em uma análise na quarta-feira.

Acredita-se que esteja ativo pelo menos desde 2012, o Reaper APT é conhecido por seu foco em entidades públicas e privadas principalmente na Coreia do Sul, como produtos químicos, eletrônicos, manufatura, aeroespacial, automotivo e entidades de saúde. Desde então, sua vitimologia se expandiu para além da península coreana para incluir Japão, Vietnã, Rússia, Nepal, China, Índia, Romênia, Kuwait e outras partes do Oriente Médio.

Enquanto os ataques anteriores alavancaram documentos do Processador de Texto Hangul (HWP) com malware, o uso de arquivos VBA Office autodecodificados para entregar RokRat sugere uma mudança nas táticas para APT37, disseram os pesquisadores.

Hackers norte-coreanos visando a Coreia do Sul com o cavalo de Troia RokRat 3

O documento Microsoft VBA carregado no VirusTotal em dezembro pretendia ser uma solicitação de reunião datada de 23 de janeiro de 2020, o que implica que os ataques ocorreram há quase um ano.

A principal responsabilidade da macro embutida no arquivo é injetar shellcode em um processo Notepad.exe que baixa a carga útil RokRat em formato criptografado de um URL do Google Drive.

Leia Também  O próximo nível de prevenção, detecção e resposta [New Guide]

RokRat – documentado publicamente pela Cisco Talos em 2017 – é um RAT escolhido para APT37, com o grupo usando-o para uma série de campanhas desde 2016. Um backdoor baseado em Windows distribuído por meio de documentos trojanizados, é capaz de capturar screenshots, registrar pressionamentos de tecla , evitando a análise com detecções de máquina anti-virtual e aproveitando APIs de armazenamento em nuvem, como Box, Dropbox e Yandex.

Em 2019, o RAT baseado em serviço em nuvem ganhou recursos adicionais para roubar informações do dispositivo Bluetooth como parte de um esforço de coleta de inteligência direcionado contra empresas de investimento e comércio no Vietnã e na Rússia e uma agência diplomática em Hong Kong.

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br

“O caso que analisamos é um dos poucos em que eles não usaram arquivos HWP como documentos de phishing e, em vez disso, usaram documentos do Microsoft Office equipados com uma macro de autodecodificação”, concluíram os pesquisadores. “Essa técnica é uma escolha inteligente que pode contornar vários mecanismos de detecção estática e ocultar a principal intenção de um documento malicioso.”



cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br