Os cibercriminosos se reinventam constantemente e suas abordagens de hackers. Uma das últimas “inovações” no mundo dos golpes cibernéticos se concentra em cibercriminosos que visam pesquisadores de segurança cibernética.
Cibercriminosos se passando por pesquisadores de segurança cibernética… visando pesquisadores de segurança cibernética
"Em janeiro, o Threat Analysis Group documentou uma campanha de hacking, que pudemos atribuir a uma entidade apoiada pelo governo norte-coreano, visando pesquisadores de segurança. Em 17 de março, os mesmos atores por trás desses ataques criaram um novo site com perfis de mídia social associados para uma empresa falsa chamada “SecuriElite,”Adam Weidemann, do Grupo de Análise de Ameaças do Google, escreveu em um artigo detalhando os ataques.
Em outras palavras, a mesma campanha, detectado inicialmente no início de 2021, agora está ativo novamente, usando um site de blog de pesquisa e vários perfis de mídia social. Mais particularmente, os cibercriminosos criaram oito perfis no Twitter e sete no LinkedIn, supostamente pertencentes a pesquisadores de vulnerabilidade e especialistas de RH em várias empresas de segurança, tal como Trend Micro.
Eles usaram os perfis para postar links para o site, “Postar vídeos de suas explorações alegadas e para amplificar e retuitar postagens de outras contas que eles controlam”. O blog de pesquisa continha artigos e análises de vulnerabilidades divulgadas publicamente, também apresentando postagens de "pesquisadores de segurança legítimos involuntários". Todos esses esforços provavelmente foram feitos para criar credibilidade diante da comunidade de segurança cibernética.
Pesquisadores de segurança específicos direcionados
Acontece que pesquisadores específicos foram direcionados. Os novos truques de engenharia social foram usados para estabelecer comunicações e perguntar ao especialista visado se ele queria colaborar pesquisa de vulnerabilidade. Uma vez que o pesquisador concordou, os cibercriminosos forneceriam a eles um projeto do Visual Studio que continha o código-fonte para explorar a falha específica. Um arquivo DLL adicional também foi incluído, o qual teve que ser executado por meio do Visual Studio Build Events.
“A DLL é um malware personalizado que imediatamente começa a se comunicar com os domínios C2 controlados por ator. Um exemplo do VS Build Event pode ser visto na imagem abaixo,”O relatório inicial detalhando o ataque explicou.
O site atualmente ativo é apresentado como uma empresa de segurança ofensiva situada na Turquia. A empresa supostamente oferece testes de caneta, avaliação de segurança de software, e explorações.
O site apresenta um link para a chave pública PGP dos invasores, como visto em seus sites anteriores. Os perfis de mídia social criados “continuam a tendência de postar como colegas pesquisadores de segurança interessados em exploração e segurança ofensiva,”Disse o relatório.
Em conclusão…
Este site ainda não foi detectado veiculando conteúdo malicioso. Contudo, o Grupo de Análise de Ameaças o adicionou ao Google Safebrowsing como medida de precaução. “Com base na atividade deles, continuamos a acreditar que esses atores são perigosos, e provavelmente terá mais 0 dias,”Concluíram os investigadores.
Em outro ataque recente, desenvolvedores de software foram visados por malware especificamente criado. O projeto Xcode trojanizado tinha como alvo os desenvolvedores iOS. O projeto era uma versão maliciosa de um legítimo, projeto de código aberto disponível no GitHub, permitindo que programadores de iOS usem vários recursos avançados para animar a barra de guias do iOS.