As agências governamentais dos EUA revelaram um novo vírus originário da Coreia do Norte, chamado malware BLINDINGCAN, que é classificado como um cavalo de Tróia backdoor. As autoridades americanas descobriram isso em uma campanha na Internet que foi capturada pela Cybersecurity and Infrastructure Security Agency (CISA) e o FBI.
Hackers da Coreia do Norte desenvolveram um novo cavalo de Troia chamado malware BLINDINGCAN
O malware BLINDINGCAN é uma arma perigosa criada por experientes hackers norte-coreanos, isso está de acordo com uma divulgação pública oficial publicada pelas autoridades dos EUA. A organização americana CERT revela que a descoberta foi feita por agentes do FBI e da Cybersecurity and Infrastructure Security Agency (CISA) que estavam rastreando vírus ao redor do mundo.
A divulgação pública foi revelada como parte do grupo patrocinado pelo governo que é conhecido por nós como Cobra Oculta. Eles são um coletivo experiente e de alto nível que normalmente cria alguns dos vírus de computador mais complexos. O FBI acredita que está usando esta nova cepa de malware em ataques coordenados contra redes e isso é feito por uma grande rede de servidores proxy que ajudam a esconder as tentativas de intrusão.
O vírus foi detectado durante uma de suas tentativas de intrusão em andamento, as agências governamentais americanas descobriram que os norte-coreanos têm como alvo empreiteiros para reunir informações sobre as principais tecnologias militares e de energia.
Para fazer isso, os criminosos criaram um estratégia de phishing que depende do uso de postagens de emprego falsas que fabricam as que são postadas por empreiteiros de defesa. Dentro deles, há um implante de vírus oculto que iniciará automaticamente com a interação. Além disso, os hackers estão utilizando uma grande rede mundial de proxies, o que torna o rastreamento muito mais difícil.
Os arquivos de malware vinculados a este ataque são Microsoft Word .DOCX documento e duas respectivas bibliotecas DLL. Eles incluem macros que iniciarão automaticamente o respectivo procedimento de instalação. o Malware BLINDINGCAN quando instalado em um determinado sistema iniciará um centro de comando e controle remoto. Isso permitirá que os coreanos assumam o controle dos sistemas e sequestrem os dados dos usuários. O próprio arquivo de Trojan se esconde nas pastas do sistema, o que torna muito difícil rastreá-lo. Durante a análise, verificou-se que existe um 32 e a versão de 64 bits desenvolvida para atingir o maior número possível de sistemas. Outros recursos do Trojan BLINDINGCAN incluem o seguinte:
- Recuperação de dados — O malware pode acessar as informações do usuário do sistema e interagir com o Gerenciador de discos, um dos principais componentes do sistema operacional Microsoft Windows. Usando isso, o vírus pode consultar os componentes de hardware instalados e verificar o espaço livre no computador.
- Controle do processo — O principal mecanismo de vírus pode ser usado para conectar-se a processos existentes ou criar novos para si mesmo. Isso significa que o malware pode reservar sua própria memória e criar vários threads, levando a ações de manipulação do sistema ainda mais complexas.
- Implantação de arquivos — Usando este malware, os hackers podem enviar arquivos arbitrários para os hosts infectados e executá-los. Como resultado, infecções adicionais podem ser iniciadas.
- Instalação Stealth — O principal motor de Trojan pode monitorar os serviços instalados e se proteger contra detecção. Ele vai parar de funcionar e pode até mesmo deletar a si mesmo se uma verificação de segurança aprofundada for iniciada.
Mais informações sobre esse malware podem ser encontradas no comunicado público denominado MAR-10295134-1.v1. Como sempre, esperamos que esses ataques de hackers avançados continuem.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: