Hackers norte-coreanos revelam o malware Goldbackdoor

Os grupos de hackers da Coreia do Norte estão entre as organizações de crimes cibernéticos mais notórias do mundo. A maioria de seus ataques tem motivação financeira ou política. Uma das últimas cargas úteis que eles usam é chamada de Malware Goldbackdoor, e parece estar em uso desde março. Nos últimos dois meses, o Goldbackdoor Malware foi empregado em ataques contra jornalistas em todo o mundo, e o objetivo principal da campanha é o roubo de dados. No entanto, é possível que os criminosos executem outras tarefas devido à natureza dos recursos do Goldbackdoor Malware.

Acredita-se que os prováveis culpados por trás da operação Goldbackdoor Malware sejam um grupo Advanced Persistent Threat (APT) rastreado sob o pseudônimo APT37. Eles também são conhecidos sob o nome de ScarCruft . O recém-identificado Goldbackdoor Malware foi recuperado de sistemas comprometidos de jornalistas sul-coreanos e parece compartilhar semelhanças com o malware ScarCruft anterior, como o Bluelight.

As vítimas do malware Goldbackdoor parecem ser abordadas por meio de e-mails de spear phishing habilmente criados, que dizem respeito a tendências e tópicos atuais para aumentar a probabilidade de a vítima cair na isca. Além disso, os hackers parecem ter comprometido contas de e-mail legítimas para tornar sua campanha de spam mais crível. Uma das mensagens contendo o anexo Goldbackdoor Malware foi enviada do e-mail pessoal de um ex-diretor do Serviço Nacional de Inteligência da Coreia do Sul.

Quanto à carga útil, ela depende de serviços de hospedagem em nuvem pública para exfiltrar dados e receber comandos. Alguns dos serviços legítimos dos quais o Goldbackdoor Malware depende são Microsoft Azure, OneDrive, Google Docs e APIs de gráfico. Ataques desse tipo são excepcionalmente perigosos, pois os utilitários de firewall podem não conseguir capturar o tráfego malicioso. No entanto, um produto antivírus respeitável ainda deve ser suficiente para encerrar o Goldbackdoor Malware.