O Threat Analysis Group (TAG) da Google detetou dois grupos de cibercriminosos norte-coreanos que estavam a explorar uma vulnerabilidade de execução de código remota no Google Chrome.

Os especialistas da gigante de Mountain View explicam que as campanhas maliciosas, detetadas no início de fevereiro, tinham como alvo principal um conjunto de organizações na área dos meios de comunicação, TI, criptomoedas e fintech nos Estados Unidos. Acredita-se também que organizações de outros países possam ter estado na mira dos grupos.

O TAG suspeita que os grupos trabalhem para a mesma entidade, com uma cadeia de distribuição partilhada, uma vez que usam o mesmo kit de exploração de vulnerabilidades. No entanto, as operações não tinham a mesma missão e foram implementadas técnicas diferentes. “É possível que outros atacantes apoiados pelo governo norte-coreano tenham acesso ao mesmo kit de exploração de vulnerabilidades”, afirmam os especialistas.

Na primeira das campanhas, denominada Operation Dream Job, mais de 250 indivíduos de organizações da área dos meios de comunicação e TI foram alvo de tentativas de ataque por parte dos cibercriminosos.

Os indivíduos receberam emails onde os atacantes se faziam passar por recrutadores de empresas, como Disney, Oracle ou até Google, anunciando falsas vagas de emprego. Os emails continham ainda links para versões falsas de websites legítimos de procura de trabalho.

Clique nas imagens para mais detalhes

Já na segunda campanha, denominada Operation AppleJeus, os cibercriminosos tentaram atacar mais de 85 utilizadores em plataformas de criptomoedas e de empresas da área das fintech.

Através do mesmo kit de exploração de vulnerabilidades usado pelos cibercriminosos da primeira campanha, os atacantes conseguiram comprometer pelo menos dois websites legítimos de fintechs. O TAG observou também websites falsos, prontos a distribuir aplicações de criptomoedas infetadas com Trojans.

De acordo com os especialistas da Google, em ambas as campanhas, os atacantes recorreram a um kit de exploração de vulnerabilidades que continham múltiplas fases e componentes. Os cibercriminosos esconderam links para o kit dentro de elementos da estrutura dos websites falsos que criaram, assim como de páginas web que comprometeram.

Depois de as campanhas terem sido descobertas, a vulnerabilidade explorada foi corrigida após quatro dias. Mesmo assim, os atacantes tentaram usá-la novamente após a correção o que “reforça a importância de instalar as atualizações de segurança à medida que são disponibilizadas”, enfatizam os especialistas.

Google identifica campanha de ataques norte-coreanos que tem investigadores de cibersegurança na “mira”
Google identifica campanha de ataques norte-coreanos que tem investigadores de cibersegurança na “mira”
Ver artigo

Recorde-se que em janeiro do ano passado, o TAG tinha também descoberto uma campanha de ciberataques, levada a cabo por atacantes apoiados pelo governo norte-coreano, que tinha como alvo investigadores de cibersegurança a trabalhar na área de pesquisa de vulnerabilidades.

Os cibercriminosos estavam a usar várias táticas para tentar ganhar a confiança das vítimas, incluindo a criação de blogs e perfis de Twitter falsos onde publicavam as suas supostas descobertas. Foram observados vários casos em que os equipamentos das vítimas foram infetados com malware após visitarem os blogs dos atacantes.