Home Ciberguerra Ciberdelincuentes norcoreanos explotan Facebook Messenger en una campaña de malware dirigida

Ciberdelincuentes norcoreanos explotan Facebook Messenger en una campaña de malware dirigida

El grupo de piratas informáticos, Kimsuky, vinculado a Corea del Norte, ha sido atribuido a un nuevo ataque de ingeniería social que emplea cuentas ficticias de Facebook dirigidas a objetivos a través de Messenger y, en última instancia, entrega malware.

“El actor de amenazas creó una cuenta de Facebook con una identidad falsa disfrazada de funcionario público que trabaja en el campo de los derechos humanos de Corea del Norte”, dijo la empresa surcoreana de ciberseguridad Genians en un informe publicado la semana pasada.

La campaña de ataque en múltiples etapas, que se hace pasar por un individuo legítimo, está diseñada para atacar a activistas de los sectores norcoreanos de derechos humanos y anti-Corea del Norte, señaló.

El enfoque se aleja de la típica estrategia de phishing mediante correo electrónico, ya que aprovecha la plataforma de redes sociales para acercarse a los objetivos a través de Facebook Messenger y engañarlos para que abran documentos aparentemente privados escritos por la persona.

Los documentos señuelo, alojados en OneDrive, son un documento de Microsoft Common Console que se hace pasar por un ensayo o contenido relacionado con una cumbre trilateral entre Japón, Corea del Sur y los EE. UU.: “My_Essay(prof).msc” o “NZZ_Interview_Kohei Yamamoto”. msc”, y este último se subió a la plataforma VirusTotal el 5 de abril de 2024 desde Japón.

Esto plantea la posibilidad de que la campaña esté orientada a personas específicas en Japón y Corea del Sur.

El uso de archivos MSC para llevar a cabo el ataque es una señal de que Kimsuky está utilizando tipos de documentos poco comunes para pasar desapercibidos. En un intento adicional de aumentar la probabilidad de éxito de la infección, el archivo se disfraza como un archivo de Word inofensivo utilizando el icono del procesador de textos.

Si una víctima inicia el archivo MSC y acepta abrirlo usando Microsoft Management Console (MMC), se le muestra una pantalla de consola que contiene un documento de Word que, cuando se inicia, activa la secuencia de ataque.

Esto implica ejecutar un comando para establecer una conexión con un servidor controlado por el adversario (“brandwizer.co[.]in”) para mostrar un documento alojado en Google Drive (“Ensayo sobre la resolución de reclamaciones de trabajo forzoso en Corea.docx”), mientras Se ejecutan instrucciones adicionales en segundo plano para configurar la persistencia, así como para recopilar información sobre la batería y el proceso.

Luego, la información recopilada se extrae al servidor de comando y control (C2), que también es capaz de recopilar direcciones IP, cadenas de agentes de usuario e información de marca de tiempo de las solicitudes HTTP, y entregar cargas útiles relevantes según sea necesario.

Genians dijo que algunas de las tácticas, técnicas y procedimientos (TTP) adoptados en la campaña se superponen con actividades anteriores de Kimsuky que difunden malware como ReconShark, que SentinelOne detalló en mayo de 2023.