A Kaspersky, parceira da Brasiline, anunciou a descoberta de um malware usado por hackers para ataques contra jornalistas, desertores da Coreia do Norte e ativistas dos Direitos Humanos. Até então desconhecido, o software malicioso foi apelidado de Chinotto (espécie de refrigerante de laranja italiano), sendo operado pelo grupo ScarCruft que, segundo as informações, é apoiado pelo governo norte-coreano e está ativo desde pelo menos 2012.

A investigação foi possível após um serviço de notícias sediado em Seul, capital da Coreia do Sul, solicitar assistência técnica da empresa especializada em segurança cibernética. Entre agosto e setembro deste ano, uma investigação da NK News descobriu conexões entre o esquema de phishing vinculado à Coreia do Norte contra um desertor do país e outros ataques contra jornalistas do site e seus perfis nas redes sociais.

Como resultado das análises, os pesquisadores tiveram a oportunidade de realizar uma investigação mais profunda em um computador comprometido pelo ScarCruft. Foram encontradas evidências de que o grupo invasor já havia roubado os dados da vítima e rastreado suas ações por meses.

Três versões do malware e controle simultâneo

A análise revelou o uso de três versões do malware Chinotto: PowerShell, executável do Windows e aplicativo Android. Todas as versões contendo o mesmo esquema de comando e controle (C&C) e usando protocolo HTTP para comunicação.

Isso significa que, podendo controlar toda a família do malware por meio de um só conjunto de scripts, os hackers conseguiam infectar simultaneamente o computador e o telefone das vítimas, por exemplo. Os operadores do Chinotto podiam superar a autenticação de dois fatores em mensageiros ou e-mail, roubando mensagens SMS e outras informações confidenciais dos dispositivos.

Por meio das redes sociais e contas de e-mail comprometidas, os invasores também tentaram coletar informações e atacar as conexões das vítimas. Os criminosos fizeram uso de um método direcionado de phishing (spear phishing), com o envio de um documento contendo uma macro maliciosa e uma carga útil para um processo de infecção em vários estágios.

Entre os estágios, havia verificação de sistema de segurança, acesso confiável ao Visual Basic Application (VBA) e descarga da carga útil. Após a infecção inicial, os atacantes entregavam o malware Chinotto e então podiam controlar e exfiltrar informações confidenciais das vítimas.

Os alvos eram as pessoas

Com o malware, os criminosos conseguiam fazer download e upload de arquivos das vítimas, remover arquivos, arquivar diretórios e extrair ilegalmente informações de um sistema afetado. Além disso, o malware foi capaz de fazer capturas de tela e executar comandos do Windows, entre outras ações.

A versão Android do Chinotto pedia várias permissões para coletar informações confidenciais, como contatos, mensagens, registros de chamadas, dados do dispositivo e gravações de áudio. Nesses casos, o malware provavelmente era implantado por meio de ataques de smishing (phishing de SMS).

Para dificultar análises, o malware contava com uma grande quantidade de códigos de lixo. Durante a análise, os especialistas da Kaspersky também identificaram quatro outras vítimas, todas localizadas na Coreia do Sul, e servidores da Web comprometidos que estavam em uso desde o início de 2021. De acordo com a pesquisa, os alvos da ameaça são indivíduos, e não empresas ou organizações específicas.

“Muitos jornalistas, desertores e ativistas dos Direitos Humanos são alvos de ataques cibernéticos sofisticados”, disse Seongsu Park, principal pesquisador de segurança da equipe de pesquisa e análise global da Kaspersky. “No entanto, eles geralmente não têm as ferramentas para se defender e responder a tais ataques de vigilância”.

Fonte