Ameaça de malware Troll Stealer tem como alvo usuários de computador coreanos
Uma ameaça cibernética recentemente descoberta colocou em risco os usuários de computador coreanos, à medida que surgiu um malware sofisticado apelidado de "Troll Stealer", suspeito de ser orquestrado pelo ator estatal ligado à Coreia do Norte, Kimsuky. Este malware, criado usando Golang, uma linguagem de programação, foi projetado para extrair furtivamente informações confidenciais de sistemas infectados. A empresa sul-coreana de segurança cibernética S2W revelou o modus operandi do Troll Stealer, que inclui o furto de SSH, FileZilla, arquivos/diretórios da unidade C, dados do navegador, informações do sistema e até mesmo capturas de tela.
Índice
Extração furtiva de dados
As conexões entre Troll Stealer e Kimsuky são extraídas de sua semelhança com cepas de malware conhecidas como AppleSeed e AlphaSeed, anteriormente atribuídas a este grupo adversário. Kimsuky, também identificado sob vários pseudónimos como APT43 e ARCHIPELAGO, é famoso pelas suas atividades de espionagem cibernética, muitas vezes destinadas a adquirir dados confidenciais para promover os interesses estratégicos da Coreia do Norte.
Espionagem Estratégica
A gravidade da ameaça representada por Kimsuky foi sublinhada quando, no final de Novembro de 2023, o Gabinete de Controlo de Activos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA sancionou o grupo pelos seus esforços de recolha de informações. Nos últimos meses, Kimsuky empregou táticas de spear-phishing para se infiltrar em alvos sul-coreanos, distribuindo uma série de backdoors, incluindo AppleSeed e AlphaSeed.
A análise da S2W destaca o método de infiltração do Troll Stealer, que envolve um conta-gotas disfarçado como um arquivo de instalação de um programa de segurança de uma empresa sul-coreana chamada SGA Solutions. Curiosamente, tanto o conta-gotas quanto o malware trazem a assinatura de um certificado legítimo pertencente à D2Innovation Co., LTD, sugerindo um possível roubo de certificado.
Segmentação governamental
Um aspecto particularmente preocupante do Troll Stealer é a sua capacidade de saquear a pasta GPKI (Infraestrutura de Chave Pública do Governo) de sistemas infectados, indicando um possível alvo de organizações administrativas e públicas na Coreia. Esse comportamento diverge das campanhas anteriores do Kimsuky, levando a especulações sobre mudanças táticas ou o envolvimento de outros atores de ameaças com acesso ao código-fonte AppleSeed e AlphaSeed.
Além disso, as indicações sugerem o envolvimento potencial de Kimsuky com outro malware, o GoBear, que compartilha semelhanças com o BetaSeed, um backdoor usado anteriormente. Notavelmente, GoBear introduz a funcionalidade de proxy SOCKS5, um desvio do modus operandi usual de Kimsuky.
O surgimento do Troll Stealer ressalta a ameaça persistente representada por Kimsuky à segurança cibernética coreana. À medida que as ameaças cibernéticas continuam a evoluir, a vigilância e medidas robustas de cibersegurança continuam a ser essenciais para salvaguardar informações sensíveis e proteger contra agentes maliciosos como Kimsuky.
