Az észak-koreai „Kimsuky” (más néven „Emerald Sleet” vagy „Velvet Chollima”) nevű állami hackercsoport egy új taktikát alkalmaz, amelyet a terjedő ClickFix kampányok ihlettek.
A Microsoft Threat Intelligence csapatának információi szerint a Kimsuky dél-koreai kormányzati tisztviselőnek adja ki magát, és fokozatosan kapcsolatot épít ki az áldozattal. Amint sikerül elérnie egy bizonyos bizalmi szintet, a támadó egy adathalász e-mailt küld egy PDF melléklettel. Azonban azok a célpontok, akik meg akarják nyitni a dokumentumot, egy hamis eszközregisztrációs linkre kattintanak, amely arra utasítja őket, hogy rendszergazdaként futtassák a PowerShell-t, és futtassák a támadó által megadott kódot.
A kód futtatása után egy böngészőalapú távoli asztal eszköz települ, egy hardcode-olt PIN kóddal letölt egy tanúsítványt, majd az áldozat eszközét regisztrálja egy távoli szerverre, amely közvetlen hozzáférést biztosít az áldozat eszközén az adatlopáshoz.
A Microsoft ezt a taktikát 2025 januárjában észlelte először, amelyek célpontjai észak-amerikai, dél-amerikai, európai és kelet-ázsiai nemzetközi kapcsolatokkal foglalkozó szervezetek, nem kormányzati szervezetek (NGO-k), kormányzati ügynökségek és médiacégek voltak. A Microsoft értesítette az érintett ügyfeleket, és figyelmezteti a felhasználókat, hogy legyenek körültekintőek az új taktika miatt, és kezeljenek minden kéretlen kommunikációt fokozott óvatossággal.
„Bár csak korlátozott támadásokban figyeltük meg ennek a módszernek az alkalmazását 2025 januárja óta, ez a változás arra utal, hogy új megközelítést alkalmaznak a célpontjaik kompromittálására” – figyelmeztet a Microsoft.
A felhasználóknak óvatosnak kell lenniük, amikor olyan kódokat kell végrehajtaniuk a számítógépükön, amelyek online forrásból származónak, különösen, ha ahhoz rendszergazdai jogosultságok szükségesek.
Forrás: bleepingcomputer.com
