Un reciente informe publicado por la empresa de ciberseguridad surcoreana Genians atribuyó al grupo de piratería informática Kimsuky, vinculado a Corea del Norte, un nuevo ataque de ingeniería social mediante el uso de cuentas de Facebook ficticias para dirigirse a objetivos a través de Messenger y distribuir malware.
Según el informe, el actor de la amenaza creó una cuenta de Facebook con una identidad falsa como funcionario público en el campo de los derechos humanos de Corea del Norte, diseñada para atacar a activistas en ese país.
Este enfoque contrasta con el típico ataque de spear-phishing por correo electrónico, ya que emplea la plataforma de redes sociales para engañar a objetivos a través de Facebook Messenger, persuadiéndolos para abrir documentos alojados en OneDrive que se hacen pasar por contenido relacionado con una cumbre trilateral entre Japón, Corea del Sur y Estados Unidos.
Los documentos mencionados, «My_Essay(prof).msc» o «NZZ_Interview_Kohei Yamamoto.msc», se hicieron notar por primera vez en VirusTotal el 5 de abril de 2024, planteando la posibilidad de que la campaña esté dirigida a personas específicas en Japón y Corea del Sur.
El uso de archivos MSC es una señal de que Kimsuky está empleando tipos de documentos poco comunes para pasar desapercibido, a su vez, ocultando estos archivos como documentos de Word inofensivos utilizando el icono del procesador de textos.
Si una víctima lanza el archivo MSC y acepta abrirlo empleando la Consola de Administración de Microsoft, desencadenará una secuencia de ataque que finalmente establecerá una conexión con un servidor controlado por el adversario.
La compañía de ciberseguridad señaló que algunas tácticas y procedimientos adoptados en la campaña son similares a la actividad anterior de Kimsuky en la difusión de malware como ReconShark, detallado por SentinelOne en mayo de 2023.
Además, el informe destacó que, en el primer trimestre de 2024, los ataques de spear-phishing fueron el método más común de ataques APT en Corea del Sur, y enfatizó la importancia de detectar estas amenazas personalizadas en una etapa temprana debido a su naturaleza encubierta y difícil detección.
Vía The Hacker News
