* Hackers Norte-Coreanos usam Facebook messenger em campanha de Malware.
Um novo ataque de engenharia social atribuído ao grupo de hackers Kimsuky, ligado à Coreia do Norte, foi identificado. A operação utiliza contas fictícias no Facebook para abordar alvos via Messenger e, eventualmente, entregar malware. O grupo de ameaça criou uma conta no Facebook com uma identidade falsa, fingindo ser um funcionário público que trabalha no campo dos direitos humanos da Coreia do Norte. Essa campanha de ataque em várias etapas é projetada para atingir ativistas nos setores de direitos humanos da Coreia do Norte e anti-Coreia do Norte. Essa abordagem difere da tradicional estratégia de spear-phishing baseada em e-mails, utilizando a plataforma de mídia social para se aproximar das vítimas através do Facebook Messenger. Os hackers enganam as vítimas para que abram documentos aparentemente privados escritos pela persona fictícia. Os documentos de isca, hospedados no OneDrive, são arquivos de Console Comum da Microsoft que se disfarçam como ensaios ou conteúdos relacionados a uma cúpula trilateral entre Japão, Coreia do Sul e EUA. Essa estratégia sugere que a campanha pode estar direcionada a pessoas específicas no Japão e na Coreia do Sul. O uso de arquivos MSC para executar o ataque indica que o Kimsuky está utilizando tipos de documentos incomuns para evitar a detecção.
* Cibercriminosos exploram o Quick Assist da Microsoft em ataques de Ransomware.
A equipe de inteligência de ameaças da Microsoft relatou a observação de um grupo de cibercriminosos, identificado como Storm-1811, que está abusando da ferramenta de gerenciamento de clientes Quick Assist para realizar ataques de engenharia social. “Storm-1811 é um grupo de cibercriminosos motivados financeiramente, conhecido por implantar o ransomware Black Basta”, disse a empresa em um relatório publicado em 15 de maio de 2024. A cadeia de ataque envolve a utilização de técnicas de personificação através de voice phishing para enganar as vítimas e levá-las a instalar ferramentas de monitoramento e gerenciamento remoto (RMM), seguidas pela entrega do QakBot, Cobalt Strike e, finalmente, do ransomware Black Basta. “Os atores da ameaça abusam dos recursos do Quick Assist para realizar ataques de engenharia social, fingindo ser um contato confiável, como o suporte técnico da Microsoft ou um profissional de TI da empresa da vítima, para obter acesso inicial ao dispositivo alvo”, explicou a Microsoft. Quick Assist é um aplicativo legítimo da Microsoft que permite aos usuários compartilharem seus dispositivos Windows ou macOS com outra pessoa via conexão remota, principalmente com o intuito de solucionar problemas técnicos. Ele vem instalado por padrão em dispositivos que executam o Windows 11.
* FBI apreende plataforma BreachForums Novamente.
Agências de aplicação da lei assumiram oficialmente o controle da plataforma BreachForums, um bazar online conhecido por vender dados roubados, pela segunda vez dentro de um ano. O site foi substituído por um banner de apreensão indicando que o fórum de cibercrime na clearnet está sob o controle do Federal Bureau of Investigation (FBI) dos EUA.A operação é resultado de um esforço colaborativo das autoridades da Austrália, Islândia, Nova Zelândia, Suíça, Reino Unido, EUA e Ucrânia. O FBI também assumiu o controle do canal do Telegram operado por Baphomet, que se tornou o administrador do fórum após a prisão de seu predecessor, Conor Brian Fitzpatrick (também conhecido como pompompurin), em março do ano passado.
Vale destacar que uma versão anterior do BreachForums, gerenciada por pompompurin, foi apreendida pela aplicação da lei no final de junho de 2023. “Este chat do Telegram está sob o controle do FBI”, lê-se em uma mensagem postada no canal. “O site BreachForums foi derrubado pelo FBI e DOJ com a assistência de parceiros internacionais.” Atualmente, não está claro se Baphomet e seu outro administrador, ShinyHunters, foram presos, embora o banner de apreensão exiba as fotos de perfil associadas a ambos como se estivessem atrás das grades. Embora a plataforma tenha sido derrubada novamente, permanece uma vigilância constante sobre as atividades online dos cibercriminosos.