Microsoft Advanced Persistent Threat (APT) e grupo de pesquisa O Microsoft Threat Intelligence Center (MSTIC) está alertando os usuários de que os hackers estão usando soluções de código aberto vulneráveis e contas falsas de mídia social para se infiltrar em organizações e instalar malware.
Para enganar a equipe de TI e software, os criminosos estão usando postos de trabalho que atraem as pessoas. De certa forma, o hack ataca a mobilidade do emprego em tecnologia e negócios.
A Microsoft APT diz que o ataque de phishing está sendo perpetrado por um grupo com ligações com as forças armadas da Coreia do Norte. Vale a pena notar que este é o mesmo grupo que estava por trás do infame hack da Sony Pictures Entertainment de 2014.
Além do aviso, o Microsoft Threat Intelligence Center (MSTIC) diz que o grupo usa Sumatra PDF Reader, KiTTY, muPDF/Subliminal Recording, TightVNC e PuTTY para transportar o malware.
Em uma postagem do blog, MSTIC diz que esses ataques estão em andamento desde abril.
O grupo – mais conhecido como Lazarus, mas também chamado de ZINC pela Microsoft – é conhecido por campanhas de spear-phishing. Por exemplo, a análise de ameaças do Google Cloud Mandiant também rastreia esses ataques desde julho.
“Os pesquisadores da Microsoft observaram o spear phishing como uma tática primária dos atores ZINC, mas também foram observados usando comprometimentos estratégicos de sites e engenharia social nas mídias sociais para atingir seus objetivos”, MSTIC aponta..
“A ZINC tem como alvo funcionários de empresas nas quais está tentando se infiltrar e procura coagir esses indivíduos a instalar programas aparentemente benignos ou abrir documentos armados que contêm macros maliciosas. Ataques direcionados também foram realizado contra pesquisadores de segurança no Twitter e LinkedIn.”
Direcionando mídias sociais
As equipes de segurança no LinkedIn da Microsoft viram o grupo criar e perfis na rede social empresarial. O objetivo desses perfis é imitar recrutadores de negócios para diversos setores e fingir estar oferecendo empregos.
Destinos que interagem com o LinkedIn e outras redes como o WhatsApp que o grupo usa são retirados dessas plataformas. É aqui que os links são fornecidos carregados com malware. Além do LinkedIn e do WhatsApp, o grupo também foi visto no YouTube, Discord, Twitter, Telegram e por e-mails.
A equipe de prevenção e defesa contra ameaças do LinkedIn diz que fechou as contas falsas:.
p>
“Os alvos receberam divulgação adaptada à sua profissão ou formação e foram incentivados a se candidatar a uma vaga aberta em uma das várias empresas legítimas. De acordo com suas políticas, para contas identificadas nesses ataques, o LinkedIn encerrou rapidamente todas as contas associadas a comportamento inautêntico ou fraudulento.”
Dica do dia: Problemas com pop-ups e programas indesejados no Windows? Experimente o bloqueador de adware oculto do Windows Defender. Mostramos como ativá-lo em apenas algumas etapas.